Re: [請益] 讓網頁只能讓透過ajax取資料不能直接連

看板PHP作者carlcarl (carl)時間12年前 (2012/04/18 04:53)推噓6(6推 0噓 5→)

留言11則, 6人參與討論串3/3 (看更多)

基本上我覺得只要能擋掉一般使用者直接去連網頁的部份就行了要完全擋掉我覺得有點困難我認為雖然有些人可能會刻意的產生特定的request去連這些網頁不過假如沒有安全性上的問題那倒是無仿方法的話我也是想用隨機的token來防止如果可用session的話可以在server端產生一個隨機的token 並塞到session裡接著傳到client網頁中 ajax就利用這個token傳送request server收到request之後確認request和session中的token是否吻合吻合的話就傳回應該要傳的資料以及再產生一組隨機的token 塞session後再傳回去接著client網頁這端收到request並更新內容和token 以此類推不過這種方法通常都是拿來防止CSRF比較多就是了然後我覺得這樣應該就差不多了當然使用者是可以收到token之後查一下然後自己做個request傳過去不過就像我前面講的如果沒有安全性上的問題他這樣做也沒差而且每次都要查token其實也滿累的也沒啥好處XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.127.141.84

推

kerash

04/18 09:02, , 1^F

04/18 09:02, 1^F

推

terrybob

04/18 10:21, , 2^F

04/18 10:21, 2^F

→

chrisQQ

04/18 10:30, , 3^F

04/18 10:30, 3^F