ページが AJAX を使用して呼び出されたかどうかを知る方法はありますか? POST メソッドで送信される追加の変数を使用していましたが、http_x_requested_withについて知っています。しかし、セキュリティ関連のブログのどこかで、どちらも簡単に (?) 乗っ取られる可能性があると読んだことがあります。知っておくべき安全な方法はありますか?それはAJAXリクエストでしたか? ありがとう!
2 に答える
1
x-requested-withクライアント側で簡単に変更できます。
...しかし、ヘッダーのポイントは、安全なログイン情報やセッション セキュリティを提供することではなく、着信要求を処理する方法を理解することです。
GETヘッダーを設定せずに のリクエストを送信した場合data.php、XML ファイルを提供する必要があるか、サイト全体の機能を備えた HTML ページ全体を提供する必要があるかもしれません。読み取り可能な形式。
一方、ヘッダーが設定されている場合は、JSON 応答を送信するだけで、クライアントが自分自身を更新したり、ページに新しいウィジェットをロードしたりできるようになります。
これはいずれも、セキュリティを確保したり、セキュリティを提供したりすることを意図したものではありません。それは、ビデオゲームのセキュリティを解像度/グラフィック設定に結びつけるようなものです。
クライアントが特定の設定を強制し、応答を処理できなかった場合は、困難です。
クライアントが設定を強要し、あらゆる種類の機密データを提供している場合、それはあなたの責任です。
于 2012-12-16T18:13:48.433 に答える
0
Ajax 呼び出しを検出する安全な方法はありません。すべてのリクエストはスプーフィングされる可能性があります。この方法ではセキュリティを提供できません。セッションベースのログイン システムなど、適切なセキュリティを設定する必要があります。
于 2012-12-16T18:02:53.123 に答える