在淘宝提供的SDK中,并没有对接口调用返回结果进行安全性验证。
这样就存在一种可能,比如我的订单接口调用在网络传输过程中被劫持了(hacker伪造了格式一样的返回信息),那么就可能导致我的订单系统会引入一些实际上并没有在淘宝平台存在的订单,此时,如果订单系统的客服人员没有比对两个平台的订单的话,订单系统上多出的伪造的订单就可能被发货出去。
解决办法:
淘宝订单接口可以在接口返回的信息中,返回签名,然后sdk中对接口返回信息中的签名进行验证即可
时间: 2024-10-21 08:50:29