我们正在考虑建立一个子域gateway.domain.com，其中该子域将处理我们从网站的多个部分（无论是内部还是外部系统）向authorize.net支付的所有款项。我知道它将需要SSL，我想我应该接受URL受限列表和极端数据验证中的$ _POST。

我想知道您对此有何想法。是否有我没有想到的安全风险？

从概念上讲，将其放在子域上没有任何安全问题，因为在您的网站上处理付款实际上对付款处理而言没有任何意义。无论您将其放在网站上的什么位置，所有常见的安全问题仍然适用。

除了可能，您只需要为该子域获取SSL证书（假设您在网站上的其他任何地方都不需要它），这也没有任何实际好处。但这根本不是一个好处。