IP防钓鱼是一个保障网络安全的措施，它指的是银行系统只会接受订单IP和支付IP一致的支付请求。 域名防钓鱼在某些情况下和IP防钓鱼会结合在一起使用，商家将支付域名配置到银行的后台系统中，若不在指定的配置范围内，银行也会拒绝支付请求。不同银行的防钓鱼方式可能不同，但是大多都是使用 IP 和referer 数据进行验证。防钓鱼的方法有三种：白名单校验、时间戳校验和IP检查。 白名单校验：商家发送支付请求前会调用支付公司提供的接口来获取Referer字段，然后将其与支付公司合作伙伴的URL链接进行匹配。支付公司会维护一个“白名单”集合，其中包括合作伙伴的域名信息。如果referer为空，交易将直接失败，如果referer域名不在白名单列表中，则交易也失败。 时间戳校验：商家在发送请求之前需要调用支付公司提供的API获取当前时间，并将其加入URL的参数中。支付公司会接收到请求并取出URL中的时间参数T1，然后与支付宝服务器当前的系统时间T2进行比较。如果时间差超过预设范围，则时间戳校验失败，拒绝服务，并将用户重定向到error页面。默认的时间间隔为60秒，可根据需要更改。

IP检查：商家首先获取用户客户端的IP地址，并将其取出URL中的IP值，并重新获取用户的客户端IP地址。如果两者不一致，则IP校验失败，系统会提示风险，但是用户可以决定是否继续操作，因为IP地址可能会不同（例如公司有双网络出口）