文档链接:https://uniapp.dcloud.net.cn/uniCloud/uni-pay.html#%E4%B8%9A%E5%8A%A1%E5%9C%A8unicloud%E4%B8%8A
在示例中,使用 custom.recharge_balance 来加款,请问自定义数据 custom 是安全不可被前端篡改的吗?
await uniIdCo.createOrder({
provider: "wxpay", // 支付供应商
total_fee: 1, // 支付金额,单位分 100 = 1元
type: "recharge", // 支付回调类型
order_no: "20221027011000101001010", // 业务系统订单号
out_trade_no: "2022102701100010100101001", // 插件支付单号
description: "uniCloud个人版包月套餐", // 支付描述
custom: '',
other: ''
});
因为uniPayCo.createOrder在前端调用,貌似参数全部不可信,应该在回调中通过order_no查询业务系统订单,验证total_fee和type后,使用total_fee加款。
如果不可信,custom 有何作用?
1 个回复
DCloud_uniCloud_VK
custom 如果在前端传确实不可信,示例会进行优化调整,同时下版本会进行一个安全升级,彻底避免参数可不信的问题。