BUG出现在类文件WxPayData.cs中的FromXml(string xml)方法

  /**

         * @将xml转为WxPayData对象并返回对象内部的数据

         * @param string 待转换的xml串

         * @return 经转换得到的Dictionary

         * @throws WxPayException

         */

         public SortedDictionary<string, object> FromXml(string xml)

         {

             if (string.IsNullOrEmpty(xml))

             {

                 Log.Error(this.GetType().ToString(), "将空的xml串转换为WxPayData不合法!");

                 throw new WxPayException("将空的xml串转换为WxPayData不合法!");

             }

             SafeXmlDocument xmlDoc = new SafeXmlDocument();

             xmlDoc.LoadXml(xml);

             XmlNode xmlNode = xmlDoc.FirstChild;//获取到根节点<xml>

             XmlNodeList nodes = xmlNode.ChildNodes;

             foreach (XmlNode xn in nodes)

             {

                 XmlElement xe = (XmlElement)xn;

                 m_values[xe.Name] = xe.InnerText;//获取xml的键值对到WxPayData内部的数据中

             }

             try

             {

                 //2015-06-29 错误是没有签名

                 if(m_values["return_code"] != "SUCCESS")

                 {

                     return m_values;

                 }

                 CheckSign();//验证签名,不通过会抛异常

             }

             catch(WxPayException ex)

             {

                 throw new WxPayException(ex.Message);

             }

             return m_values;

         }

根据VS代码提示 ,可能非有意的引用比较;左侧需要强制转换。

经调试监听,即使m_values["return_code"]返回值为SUCCESS,此处判断也是true。这样就绕过了CheckSign()验证签名的方法。

如果按照VS代码提示进行修改:

    //2015-06-29 错误是没有签名

                if(m_values["return_code"].ToString() != "SUCCESS")

                {

                    return m_values;

                }

                CheckSign();//验证签名,不通过会抛异常

经调试,m_values["return_code"]返回值为SUCCESS,下一步走CheckSign()验证签名的方法,然后报“WxPayData字段数据类型错误!”

然后下载Java SDK进行代码对比,发现只要m_values["return_code"]返回值为SUCCESS,就要进行签名验证,Java代码如下

/**

     * 处理 HTTPS API返回数据,转换成Map对象。return_code为SUCCESS时,验证签名。

     * @param xmlStr API返回的XML格式数据

     * @return Map类型数据

     * @throws Exception

     */

    public Map<String, String> processResponseXml(String xmlStr) throws Exception {

        String RETURN_CODE = "return_code";

        String return_code;

        Map<String, String> respData = WXPayUtil.xmlToMap(xmlStr);

        if (respData.containsKey(RETURN_CODE)) {

            return_code = respData.get(RETURN_CODE);

        }

        else {

            throw new Exception(String.format("No `return_code` in XML: %s", xmlStr));

        }

        if (return_code.equals(WXPayConstants.FAIL)) {

            return respData;

        }

        else if (return_code.equals(WXPayConstants.SUCCESS)) {

           if (this.isResponseSignatureValid(respData)) {

               return respData;

           }

           else {

               throw new Exception(String.format("Invalid sign value in XML: %s", xmlStr));

           }

        }

        else {

            throw new Exception(String.format("return_code value %s is invalid in XML: %s", return_code, xmlStr));

        }

    }

对于.NET SDK 中这个处理,不太明白。还请大神指点迷津!

微信支付.NET SDK 中的BUG(存疑)的更多相关文章

  1. 微信支付的SDK曝出重大漏洞(XXE漏洞)

    一.背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构.文件内容,如代码.各种私钥等.获取这些信息以后,攻击者便可以为所欲为,其中 ...

  2. 微信支付V3 SDK Payment Spring Boot 1.0.6 发布,实现留守红包,助力抗疫

    春节将至,为防控疫情,多地政府提倡员工.外来务工者留守本地过年,并鼓励企业向员工发放"留守红包".为此,微信支付推出"春节留守红包"能力,希望可以协助有发放需求 ...

  3. 微信支付PHP SDK —— 公众号支付代码详解

    在微信支付 开发者文档页面 下载最新的 php SDK http://mch.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1 这里假设你已经申请完微 ...

  4. 微信支付官方SDK V3 .NET版的坑

    但是支付成功后却不能正确的执行支付结果js回调函数.看看其页面的点击事件是放在asp:Button上面的.我们知道在asp.net webform中,按钮的点击是有页面回调后台的.也就是其实点击了之后 ...

  5. Unity接入微信登录 微信分享 微信支付 支付宝SDK

    你将会学到的unity集成SDK游戏中接入微信支付与支付宝支付游戏中接入微信登录与微信分享 目录 mp4格式,大小2.2GB 扫码时备注或说明中留下邮箱 付款后如未回复请至https://shop13 ...

  6. 微信支付第三方sdk使用

    1.引入依赖:(对于依赖冲突自行解决) <dependency> <groupId>com.github.binarywang</groupId> <arti ...

  7. easywechat之微信支付--在thinkPHP5中的使用

    1. 准备工作 1.1 easywechat 安装完成 未安装移步至 -> http://www.cnblogs.com/flyphper/p/8484600.html 1.2 确定支付相关的配 ...

  8. Koa系框架(egg/cabloy)如何获取微信支付回调请求中的xml参数

    背景 在Koa系框架(如EggJS)中进行微信支付开发时,遇到一个问题:微信支付平台会发送一个回调请求,通知支付订单的处理结果.该请求传入的参数是xml格式,而Koa中间件koa-bodyparser ...

  9. Android微信支付SDK

    App对接微信调起微信支付需要在微信平台注册,鉴别的标识就是App的包名,所以将申请的包名单独打包成一个Apk文件,则在其他的App调起此Apk的时候同样可以起到调用微信支付的功能.这样就实现了调起微 ...

随机推荐

  1. Makefile中自动生成头文件依赖

    为什么需要自动生成头文件依赖? 编译单个源文件时,需要获取文件中包含的头文件的信息,但是一般的Makefile不会在规则中明确写明文件依赖的头文件,所以单独修改头文件后,不会导致包含头文件的源文件重新 ...

  2. Jmeter(十八) - 从入门到精通 - JMeter后置处理器 -下篇(详解教程)

    1.简介 后置处理器是在发出“取样器请求”之后执行一些操作.取样器用来模拟用户请求,有时候服务器的响应数据在后续请求中需要用到,我们的势必要对这些响应数据进行处理,后置处理器就是来完成这项工作的.例如 ...

  3. python爬虫入门(4)----- selenium

    selenium 简介 selenium使用JavaScript模拟真实用户对浏览器进行操作.测试脚本执行时,浏览器自动按照脚本代码做出点击,输入,打开,验证等操作,就像真实用户所做的一样,从终端用户 ...

  4. APP自动化 -- 坐标获取和点击

    一.获取元素坐标 二.点击坐标 1.driver的点击(这个可以实现多点同时点击) 1)执行 这个coordinate变量必须是一个list coordinate_list = [(0, 0), (1 ...

  5. ThreadLocal源码分析以及why导致内存泄露

    1 ThreadLocal? This class provides thread-local variables. These variables differ from their normal ...

  6. ngx lua获取时间戳的几种方式

    原创自由de单车 最后发布于2017-02-14 14:58:43 阅读数 18218 收藏 在ngx_lua里,获取时间相关信息的方式大概有4种(见下面代码): print(string.forma ...

  7. Cobbler 部署

    环境介绍 Cobbler 操作系统: Centos-7.2-x86_64 Cobbler服务器地址: 10.90.0.10 部署 Cobbler 安装 Centos epel 原 [root@node ...

  8. Nexus安装与迁移

    Maven registry(maven私有仓库) 配置Java export JAVA_HOME=/software/jdk1.7.0_79 export JRE_HOME=${JAVA_HOME} ...

  9. Django学习路16_获取学生所在的班级名

    在 urls.py 中先导入getgrades from django.conf.urls import url from app5 import views urlpatterns = [ url( ...

  10. PHP array_reverse() 函数

    实例 返回翻转顺序的数组: <?php $a=array("a"=>"Volvo","b"=>"BMW" ...