2. 程式人生 > >“商家引數格式有誤”應用切微信H5支付完美解決方案

“商家引數格式有誤”應用切微信H5支付完美解決方案

阿新 發佈:2020-07-31

一、業務場景發生

最近在跟一些合作公司作業務對接,在對方的APP中接入我們的H5支付,包括微信和支付寶。

那就開搞,進展順利,貌似一切都在掌握之中,給到對方一個連結即可調起支付。形如:

https://www.batsing.com/api/h5pay?appid=1234567001&userid=10&money=0.01&paytype=weixin

通過QQ或者瀏覽器開啟即可付款發貨,絲滑完美。

然而。。。接入到他們APP中卻報錯了,趕緊去微信開發文件看看

微信官方給的方案很簡單,讓APP開發的去修改webview,但這,合理嗎?

對於自家做APP的是可以。但對於像我們這種做第三方的,這顯然不是一個優秀的解決途徑,那怎麼辦呢?

二、 問題本質

出現這個問題的本質是什麼呢?是APP中頁面跳轉到MWEB_URL的請求中沒有帶上Referer。

(APP中的webview把一些http請求頭給吃掉了,referer不會像普通瀏覽器那樣自動識別轉發出去)

既然前端的解決方案不友好,那就換成後端來解決,強大的curl可以模擬一切http請求。

三、Hack跟蹤微信H5支付過程

在微信下單介面解析xml得到 MWEB_URL,然後對照著微信開發文件,經過一番引數除錯,偽造了請求IP和referer,請求IP要與呼叫下單介面時傳遞的客戶端IP一致,referer要與微信商戶後臺上填寫的授權域名一致。

然後捕捉到了正常的微信支付頁面程式碼。

 

這是curl傳送模擬請求的程式碼

<?php
$mweb_url = 'https://wx.tenpay.com/cgi-bin/mmpayweb-bin/checkmweb?prepay_id=wx20161110163838f231619da20804912345&package=1037687096';
$headers = [
    "CLIENT-IP:" . $_SERVER['REMOTE_ADDR'],
    "X-FORWARDED-FOR:" . $_SERVER['REMOTE_ADDR'],
];
$result = Common_Http::curl_get_content($mweb_url, [
    'CURLOPT_HTTPHEADER' => $headers,
    'CURLOPT_REFERER' => 'https://www.batsing.com'
]);
echo'<pre>';print_r(htmlspecialchars($result));echo'</pre>';

 

打印出來得到的內容如下,我們只看 window.onload 部分就可以了。

<!DOCTYPE html>
<html>
<head lang="en">
    <meta http-equiv=Content-Type content="text/html;charset=utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0">
    <meta name="apple-mobile-web-app-capable" content="yes">
    <meta name="apple-mobile-web-app-status-bar-style" content="black">
    <meta name="format-detection" content="telephone=no">
    <title>weixin</title>
    <style>.f10{font-size:10px}.f11{font-size:11px}.f12{font-size:12px}.f13{font-size:13px}.f14{font-size:14px}.f15{font-size:15px}.f16{font-size:16px}.f17{font-size:17px}.f18{font-size:18px}.f19{font-size:19px}.f20{font-size:20px}body{font-size:14px}h1,h2,h3,h4,h5{font-weight:400;font-style:normal}h1,.h1{font-size:20px}h2,.h2{font-size:18px}h3,.h3{font-size:16px}h4,.h4{font-size:14px}h5,.h5{font-size:12px}a,a:visited{color:#007aff}.text_color{color:#888}.title_color{color:#000}.desc{color:#b2b2b2}.warn{color:#b71414}.nickname{color:#576b95}.tips{font-size:13px;color:#b2b2b2}body{background-color:#fff}body.msg_dark{background-color:#2e3132;color:#fff}.page_msg{padding:75px 15px 0;text-align:center}.icon_area{margin-bottom:19px}.text_area{margin-bottom:25px}.text_area .title{margin-bottom:12px}.opr_area{margin-bottom:25px}.extra_area{margin-bottom:20px}@media screen and (min-height:416px){.extra_area{position:fixed;left:0;bottom:0;width:100%}}.btn{display:block;margin-left:auto;margin-right:auto;padding-left:14px;padding-right:14px;font-size:16px;text-align:center;text-decoration:none;overflow:visible;height:40px;border-radius:5px;-moz-border-radius:5px;-webkit-border-radius:5px;box-sizing:border-box;-moz-box-sizing:border-box;-webkit-box-sizing:border-box;color:#fff;line-height:40px;-webkit-tap-highlight-color:rgba(255,255,255,0)}.btn.btn_inline{display:inline-block}.btn_default{background-color:#d1d1d1}.btn_default:not(.btn_disabled):visited{color:#fff}.btn_default:not(.btn_disabled):active{color:rgba(255,255,255,.4);background-color:#a7a7a7}.btn_primary{background-color:#04be02}.btn_primary:not(.btn_disabled):visited{color:#fff}.btn_primary:not(.btn_disabled):active{color:rgba(255,255,255,.4);background-color:#039702}.btn_warn{background-color:#ef4f4f}.btn_warn:not(.btn_disabled):visited{color:#fff}.btn_warn:not(.btn_disabled):active{color:rgba(255,255,255,.4);background-color:#c13e3e}.btn.btn_mini{height:25px;line-height:25px;font-size:14px}button.btn,input.btn{width:100%;border:0;outline:0;-webkit-appearance:none}button.btn:focus,input.btn:focus{outline:0}button.btn_inline,input.btn_inline{width:auto}.btn_disabled{color:rgba(255,255,255,.6)}.btn+.btn{margin-top:10px}.btn.btn_inline+.btn.btn_inline{margin-top:auto;margin-left:10px}.btn_area{margin-left:-5px;margin-right:-5px;font-size:0}.btn_area.btn_area_inline{margin-left:auto;margin-right:auto;display:-webkit-box;display:-webkit-flex;display:-moz-box;display:-ms-flexbox;display:flex}.btn_area.btn_area_inline .btn{margin-top:auto;margin-right:10px;width:100%;-webkit-box-flex:1;-webkit-flex:1;-moz-box-flex:1;-ms-flex:1;box-flex:1;flex:1;display:inline-block \9;width:48% \9;margin-left:1% \9;margin-right:1% \9}.btn_area.btn_area_inline .btn:last-child{margin-right:0}span.btn button{display:block;width:100%;height:100%;background-color:transparent;border:0;outline:0;color:#fff}span.btn button:active{color:rgba(255,255,255,.4)}span.btn.btn_loading button,span.btn.btn_disabled button{color:#fff}.icon_msg{width:100px;height:100px;vertical-align:middle;display:inline-block;border-radius:50%;-moz-border-radius:50%;-webkit-border-radius:50%}.icon_msg.warn{background-color:#f86161;color:#fff;font-size:60px;font-style:normal}html{-ms-text-size-adjust:100%;-webkit-text-size-adjust:100%}body{font:14px/1.5em "Helvetica Neue",Helvetica,Arial,sans-serif;background-color:#efeff4;line-height:1.6}body,h1,h2,h3,h4,h5,p,ul,ol,dl,dd,fieldset,textarea{margin:0}fieldset,legend,textarea,input,button{padding:0}button,input,select,textarea{font-family:inherit;font-size:100%;margin:0;*font-family:"Helvetica Neue",Helvetica,Arial,sans-serif}ul,ol{padding-left:0;list-style-type:none}a img,fieldset{border:0}a{text-decoration:none}</style>
</head>
<body>
<div class="body">
    <div id="errpage" class="page_msg">
            </div>
</div>
<script src="//wx.gtimg.com/wxpay_h5/fingerprint2.min.1.4.1.js"></script>
<script type="text/javascript">

    var is_postmsg="";
    if( 0!==0 && is_postmsg=="1" )
    {
        parent.postMessage(JSON.stringify({
            action : "send_deeplink_fail",
            data : {
                        deeplink : ""
                   },
            error : {
                error_code : "0",
                error_msg : "ok"
                    }
            }), "");
    }
    if( 0===0)
    {
        window.onload=function()
        {
//        var fp=new Fingerprint2();
            //      fp.get(function(result)
            {
                // var fingerprint="";
                /*         if(fingerprint!=result && fingerprint)
                 {
                 document.getElementById("errpage").innerHTML='<div class="icon_area"><i class="icon_msg warn">!</i></div> \
                 <div class="text_area"> \
                 <h2 id="111" class="title"> '+result+'網路環境未能通過安全驗證,請稍後再試</h2> \
                 </div>';
                 return;
                 }*/
                var is_postmsg="";
                if(is_postmsg=="1")
                {
                    parent.postMessage(JSON.stringify({
                        action : "send_deeplink",
                        data : {
                            deeplink : "weixin://wap/pay?prepayid%3Dwx0917024062319287307475501524736300&package=2450968634&noncestr=1591693360&sign=07b94cb3986c14bab48ec240f805f9a5"
                        }
                    }), "");
                }
                else
                {
                    var url="weixin://wap/pay?prepayid%3Dwx0917024062319287307475501524736300&package=2450968634&noncestr=1591693360&sign=07b94cb3986c14bab48ec240f805f9a5";
                    var redirect_url="";
                    top.location.href=url;

                    if(redirect_url)
                    {
                        setTimeout(
                            function(){
                                top.location.href=redirect_url;
                            },
                            5000
                        );
                    }
                    else
                    {
                        setTimeout(
                            function(){
                                window.history.back();
                            },
                            5000);
                    }
                }
            }
            // );
        }



    }
</script>
</body>
</html>
View Code

一開始還以為一直被判斷“網路環境未能通過安全驗證”,然後才發現那段是被註釋掉的,被虛晃了一槍。

關鍵部分,頁面裡有兩段一樣的 weixin://wap/pay? 開頭的網址,很明顯這個網址就是要拉起手機裡的微信應用發起支付的。

其他的js程式碼邏輯也很簡單,先從頂層跳轉到weixin:// 即是拉起支付,然後5秒鐘後跳轉到重定向地址(若無重定向地址則返回上一頁)。

我們嘗試用手機直接訪問這個 weixin:// 網址,確實可以拉起手機支付,支付也可以順利完成到賬。

那可以確定,IP地址和referer校驗只是在 https://wx.tenpay.com/ 這裡有做,到了 weixin://wap/pay 這一步他就不再校驗這些裝置資訊了。

 

 

四、製作新的H5支付頁面

最後,我們參照微信H5支付頁面,拼出一個類似的H5介面,實現跳轉支付以及5秒後跳轉到支付完成頁;

這樣就可以實現在webview中也能順利發起微信H5支付,並實現同樣的跳轉邏輯了。

&n

相關推薦

商家引數格式有誤應用H5支付完美解決方案

一、業務場景發生 最近在跟一些合作公司作業務對接,在對方的APP中接入我們的H5支付,包括微信和支付寶。 那就開搞,進展順利,貌似一切都在掌握之中,給到對方一個連結即可調起支付。形如: https://www.batsing.com/api/h5pay?appid=1234567001&userid=

2018年deepin-wine QQ、等最完美解決方案

  一直苦於linux不能安裝QQ,現在只要安裝好deepin-wine的環境就可以完美解決無法安裝QQ的問題 1. ubuntu下安裝deepin-wine $ git clone [email protected]:hot_heart/deepin-wine.git

H5安卓客戶端app支付中遇到的問題處理: 商家引數格式有誤,請聯絡商家解決

解決在APP中使用微信H5支付,提示“商家引數格式有誤…” 引子:近期碰到了微信支付的新需求,用到微信H5支付,後發現如果只使用瀏覽器做H5支付, 沒什麼問題,主流的手機瀏覽器均已測試,都可以調起微信支付(QQ,UC,百度 ) 但是當我在APP中喚起的時候,安卓總是出現“商家引數格式有誤,請

域名防封技術,如何能做到域名防封,域名防封解決方案

循環 研究 b- 自定義 自定義分享 log 穩定 .html targe 做微信營銷活動,域名沒被封過,那你的營銷人生肯定是不完整的。如果做到微信域名防封呢?這就要借助一些工具來實現有效的防封措施了。 第一步 你需要有一個微信域名檢測接口,推薦使用www.weixin13

H5支付 提示"網絡環境未能通過安全驗證,請稍後再試"

微信 h5 支付 按照官方https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=15_4#接入微信的H5支付,提示“網絡環境未能通過安全驗證,請稍後再試”,經排查發現服務器有前端機子,原先獲取IP的方法有誤,不能正確獲取客戶的IP。更改獲取IP

H5支付開發全過程(除內置以外的瀏覽器)

app 獲取ip getenv 過程 comm ati psi 初始 cli 前言:網上都是~ 呵呵 自己搞 只要花時間 多問客服總會有的 只說程序不說準備工作 自己ID 或者秘鑰都準備好了 寫的有點兒亂 可以把所有的方法 放在一個文件中調用 public funct

h5支付demoH5支付demo非瀏覽器支付demowap支付

demo == tox tex h5支付 esp alt tsig openid 一、首先先確定H5支付權限已經申請!(需要微信h5支付demo的可以加 851 488 243 備註:h5支付) 二、開發流程 1、用戶在商戶側完成下單,使用微信支付進行支付 2、由商戶後臺向

H5支付,從第三方手機瀏覽器中直接打開支付頁面

pan 兩個 add field out 字典 註意 cti 返回 首先在商戶平臺通開H5支付功能,然後幫後綁定,支付完成之後需要跳轉的地址,開通之後就可以開發H5支付; 首先是簽名,臥槽,說到這個就想罵人, 官方文檔的解說;文科生哪能看得懂什麽是集合; 下面就來簽名:

***公眾號支付+H5支付+掃碼支付+小程序支付+APP支付解決方案總結

ati asc alt creat chapter edit 隨機字符串 glob 測試 最近負責的一些項目開發,都用到了微信支付(微信公眾號支付、微信H5支付、微信掃碼支付、APP微信支付)。在開發的過程中,在調試支付的過程中,或多或少都遇到了一些問題,今天總結下,分享,

h5支付

ref 單位 tps ech echo info str name ini <?php const APPID = ‘‘; //受理商ID,身份標識 const MCHID = ‘‘; //商戶支付密鑰Key。審

vue中使用baidushare分享到無法顯示bug解決方案

解決 需要 基礎知識 才會 微信 在線 項目 fig 二維 最近vue單頁面項目中有個頁面分享的功能需求,按以往經驗,選擇了百度開源的baidushare.js 經過一天的掙紮,終於弄清楚了分享到微信後無法顯示的原因。 對比分析:   以往成功使用:另寫了一個專門的分

關於公眾號支付 H5支付APP支付的問題 (PHP)TP+VUE

話不多說 直接上原始碼 在寫支付之前一定要確定好微信要求配置的相關回調域名 安全支付域名還有雜七雜八的哪些地址都準備好了 要不然是沒法實現的 微信公眾平臺 微信商戶平臺 還有開發者平臺 什麼的 這點比較噁心 1.微信公眾號支付 公眾號支付和H5支付最大的不同就在於公眾號支付使用者有ope

H5支付完整版含PHP回撥頁面

注意事項: 一,微信H5支付只能用在手機瀏覽器中,比如百度瀏覽器,UC瀏覽器等,不可以用在微信中,微信中只可以使用公眾號支付.要特別注意. 二,如果你的h5手機版網站加殼打包封裝成了APP,根據我們的測試,也可以使用微信h5支付.不過.據微信官方說,可能會提示商家引數格式有誤,請聯絡商家解決

JavaH5支付實際例子

最近看過不少微信H5支付的例子,我是根據這個網址來配置的:https://blog.csdn.net/leigelg/article/details/80456758 這裡已經說的很明白,就是在支付的時候老是提示“網路環境未能通過安全驗證,請稍後重試”後來發現真是IP地址問題,這是我實際專案

H5支付開發(maven倉庫版)

官方文件:https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=15_1 開發之前確認開通了H5支付功能 一、安裝微信sdk  二、建立config類 package com.xiuchefang.config; impo

二次分享解決方案

這幾天做一個微信公眾號的需求,有個分享功能。發現分享從公眾號分享到微信是正常的,可以看到縮圖、名稱、描述,但是直接轉發該分享或者點開該分享再次通過微信分享時,就只出現了連結地址,也沒有縮圖。測試的圖片如下: 圖1 第一次分享-正確 圖2 第二次分享-

java開發記錄-H5支付

一點點關於微信H5支付開發的總結. 接入成功後就可以進行程式碼設計啦. 此次測試開發是在springboot環境下完成的,下面列出微信支付用到的相關依賴: <dependency> <groupId>com.g

點選連結開啟再跳轉到內部瀏覽器的解決方案

瞭解了一下http://xyk.cmbchina.com/Latte/wx/20150520wkf?from=ISTA004&clientid= 招行的這個跳轉,發現後臺返回的這個資料{"returnCode":"0000","returnMessage":"succ

H5支付demo

首先我們必須得在微信公眾平臺和微信商業平臺那邊配置好相關配置 1、註冊微信服務號,開通微信支付許可權繫結微信商業平臺(這個具體怎麼操作我就不說了) 2、獲取應用(公眾號)appid、應用(公眾號)祕鑰、商戶號、商戶API祕鑰這四個配置資訊 3、微信商業平臺開通H5支付許可權,配置支付域名(是要ICP備案

Java整合H5支付/支付寶手機網站支付

微信H5支付:1,微信外部H5支付:名詞解釋:就是在自己的H5網站頁面裡呼叫微信支付功能,注意,這裡只能是在微信外部支付,在微信內開啟網站是無法支付的,要另外使用微信公眾號支付呼叫微信H5支付介面前提條件:1,註冊公眾號並且通過認證2,在公眾號裡申請微信支付,成為商戶號3,在