小蒋同学
小蒋同学
  • 发布:2023-03-17 00:39
  • 更新:2023-03-17 12:04
  • 阅读:137

uni-pay创建支付的参数custom是可信的吗?

分类:uniCloud

文档链接:https://uniapp.dcloud.net.cn/uniCloud/uni-pay.html#%E4%B8%9A%E5%8A%A1%E5%9C%A8unicloud%E4%B8%8A

在示例中,使用 custom.recharge_balance 来加款,请问自定义数据 custom 是安全不可被前端篡改的吗?

await uniIdCo.createOrder({  
  provider: "wxpay", // 支付供应商  
  total_fee: 1, // 支付金额,单位分 100 = 1元  
  type: "recharge", // 支付回调类型  
  order_no: "20221027011000101001010", // 业务系统订单号  
  out_trade_no: "2022102701100010100101001", // 插件支付单号  
  description: "uniCloud个人版包月套餐", // 支付描述  
  custom: '',  
  other: ''  
});

因为uniPayCo.createOrder在前端调用,貌似参数全部不可信,应该在回调中通过order_no查询业务系统订单,验证total_fee和type后,使用total_fee加款。

如果不可信,custom 有何作用?

2023-03-17 00:39 负责人:DCloud_uniCloud_VK 分享
已邀请:
DCloud_uniCloud_VK

DCloud_uniCloud_VK

custom 如果在前端传确实不可信,示例会进行优化调整,同时下版本会进行一个安全升级,彻底避免参数可不信的问题。

要回复问题请先登录注册