Paypal 智能按钮价格篡改

Question

按照这里的教程完成后：

https://developer.paypal.com/docs/checkout/

我设法使用他们的智能按钮轻松设置贝宝结帐流程。但是，我看到在他们的实现中，价格金额要么是硬编码的，要么是通过 JS 传递的。

据我了解，一些恶意黑客可以轻松更改我的代码以修改该价格。

paypal 真的阻止了这种情况吗？这个：

https://developer.paypal.com/docs/checkout/#how-the-buttons-work

并没有真正告诉我用户是否可以做price tampering。

我也检查了这个：

https://developer.paypal.com/docs/paypal-payments-standard/integration-guide/limitations/

我真的不知道这是否只是过时了，或者解决了另一种结帐类型。

那么，我的问题是 Paypal 如何使用 javascript 制作这些 smart buttons 客户端？他们如何预防上述情况？

另外，我是否应该按照here 的建议使用 paypal IPN 来防止这种情况发生？我宁愿把它变成最简单的集成，而为这个非常简单的案例设置一个对我来说似乎有点矫枉过正。

Answer 1

显然我把事情复杂化了。 Fireship 简化了我的困惑，这很好。

基本工作流程如下：

• 客户填写结帐表格或使用贝宝按钮允许的任何方式付款。
• onApprove 回调将与订单 ID 和其他详细信息一起触发。
• 只需对您的宁静服务进行适当安全的 api 调用，验证价格和订单 ID 就足够了

因此，无论恶意黑客是否试图篡改价格，服务器都会验证价格和订单ID。

对于像我这样以前感到困惑的人，请在您的服务器上使用它进行验证：

https://developer.paypal.com/docs/checkout/reference/server-integration/get-transaction/