در دنیای تجارت الکترونیک، پرداخت آنلاین یکی از اصلیترین نقاط تماس کاربر با سیستمهای مالی است. از همین رو، رعایت الزامات امنیتی در این بخش ضروری و حیاتی است. یکی از این الزامات، تطابق کامل دامنهها در مسیر پرداخت است که شامل دو بخش مهم میشود:
- دامنه ریفر (Referrer): دامنهای که درخواست پرداخت از آن ارسال میشود.
- دامنه کالبک (Callback): دامنهای که پس از پرداخت کاربر به آن بازمیگردد.
ریفر (Referrer) چیست؟
ریفر در پرداخت آنلاین، دامنهای است که از آن کاربر وارد درگاه پرداخت میشود. یعنی سایتی که فرم پرداخت از طریق آن ارسال میشود یا کاربر در آن سایت روی دکمه پرداخت کلیک میکند.طبق قوانین شاپرک، ریفر باید دقیقاً با دامنهای که در پنل درگاه زرینپال ثبت شده مطابق باشد.اگر دامنه مبدا پرداخت با دامنه ثبتشده یکی نباشد، ممکن است منجر به جلوگیری از اتصال به درگاه، قطع پرداخت یا حتی تعلیق درگاه پرداخت شود.
مثال درست:
- دامنه ثبتشده در زرینپال: kala.com
- خرید و ارسال درخواست پرداخت از: kala.com
مثال نادرست:
- دامنه ثبتشده: kala.com
- پرداخت ارسال شده از:kala.net
در این حالت، ریفر با دامنه ثبتشده مغایرت دارد و از دید شاپرک تخلف محسوب میشود.
کالبک (Callback) چیست؟
پس از انجام هر پرداخت اینترنتی، چه موفق باشد چه ناموفق، کاربر باید به همان سایتی بازگردانده شود که فرایند خرید را از آن آغاز کرده است. این بازگشت از طریق آدرسی به نام Callback URL انجام میشود. درگاههای پرداخت مانند زرینپال موظفاند این آدرس بازگشت را بررسی و با دامنه ثبتشده برای فروشگاه در پنل پذیرنده مقایسه کنند. این تطابق برای اطمینان از صحت و امنیت تراکنشها ضروری است.
در صورتی که دامنهای که کاربر پس از پرداخت به آن هدایت میشود با دامنه ثبتشده در پنل زرینپال مغایرت داشته باشد، از دید شاپرک این مسئله تخلف محسوب میشود. این مغایرت میتواند زمینهساز حملات فیشینگ، سرقت اطلاعات، یا جعل تراکنش شود و ممکن است منجر به تعلیق درگاه پرداخت یا اقدامات انضباطی از سوی شاپرک گردد. بنابراین، صاحبان کسبوکار باید اطمینان حاصل کنند که Callback URL همیشه با دامنه تأیید شده در پنل پذیرنده یکسان باشد.
مثال درست:
- خرید از: https://kala.com
- کالبک: https://kala.com/payment/verify
مثال نادرست:
- خرید از: https://kala.com
- کالبک: https://kala.ir/payment/verify
چرا تطابق ریفر و کالبک مهم است؟
| مورد | توضیح |
| امنیت اطلاعات | از ارسال دادههای تراکنش به سایتهای غیرمجاز جلوگیری میشود. |
| پیشگیری از حملات فیشینگ | اطمینان حاصل میشود که اطلاعات پرداخت فقط بین کاربر و سایت اصلی رد و بدل شده است. |
| رعایت قوانین شاپرک | هر مغایرتی ممکن است باعث قطع سرویس، تعلیق درگاه یا پیگرد قانونی شود. |
| اعتماد کاربر | یکپارچگی دامنهها، اعتبار برند را در ذهن کاربر تثبیت میکند. |
چگونه مشکل مغایرت دامنه را حل کنیم؟
اگر به هر دلیلی فرایند خرید از دامنهای غیر از دامنه ثبتشده در پنل درگاه انجام میشود (مثلاً کمپینهای تبلیغاتی، سابدامین یا سایت جداگانه)، راهکار پیشنهادی به شرح زیر است:
ایجاد واسط پرداخت امن
با این فرض که دامنه ثبت شده در پنل زرینپال به منظور دریافت درگاه پرداخت، kala.com در نظر گرفته شده،زمانی که کاربر به منظور خرید وارد سایت فرعی یا دامنه غیررسمی میشود (مثلاً shop.kala.net) میشود، قبل از پرداخت به دامن اصلی به kala.com ریدایرکت میشود.در این مرحله فرم پرداخت یا درخواست زرینپال از دامنه اصلی ارسال میشود (ریفر درست).بعد از پرداخت نیز Callback روی دامنه اصلی تنظیم و تراکنش کامل، معتبر و مطابق با قوانین انجام میشود.
جمعبندی
در هر پرداخت اینترنتی، سه بخش کلیدی وجود دارد که از نظر دامنه باید بهصورت کامل با یکدیگر مطابقت داشته باشند: نخست، سایتی که کاربر خرید را از آن آغاز میکند (ریفر)؛ دوم، سایتی که درخواست پرداخت را به درگاه ارسال میکند و سوم، سایتی که کاربر پس از پرداخت به آن بازمیگردد (کالبک).
وجود هرگونه مغایرت در این سه مرحله، از دید شاپرک تخلف محسوب میشود و میتواند منجر به بروز اختلال در فرآیند پرداخت، سلب اعتماد کاربران نسبت به کسبوکار، و حتی مسدود شدن یا تعلیق درگاه پرداخت توسط شاپرک یا شرکت ارائهدهنده خدمات پرداخت مانند زرینپال گردد. بنابراین، رعایت تطابق دامنه در تمامی این مراحل برای پذیرندگان یک الزام جدی و حیاتی است.
