プログラミング言語はそれほど多くありません...データをロードするだけでなく、グループをユーザーに帰属させる、ユーザーアクセスをブロックするなどの管理者固有のアクションを含む、Webサイトで多くのアクションを実行するために、多くのjQueryAjax呼び出しを含むWebサイトを構築しています。等...
私はjsを介してユーザー検証を行いません。私のajaxリクエストはPHPによって処理されるため、これらすべての管理アクションについて、最初にユーザーが実際に管理者であることを確認します(これについてはセッション/データベース情報を確認します)。これが正しい道だと思いますが、私を悩ませてきたことが1つあります...
これを考慮して、私のadmin.phpはこれらすべてのAjax呼び出しで外部.jsファイルを参照します。一般的なユーザーは管理ページにアクセスできませんが、私のjsフォルダーに移動して、私のadmin.phpAJAXスクリプトを見ることができます。 、これらのスクリプトにはもちろん、URL、タイプ(POST / GET)などの機密情報がパラメーターに含まれています。私は(もちろん、セキュリティは大したことですが)私のアプリケーションを保護するためのPHPコードを信頼していますが、それでもちょっと...私のギアを磨きます...人々は私のURLと私が行う呼び出しの種類を知っています。
たぶん私はただの妄想です、私のコードが安全であるならば、なぜ人々がこの情報を見ても気にする必要があるのですか?(Web開発でSAFEとして何かを宣言することは「生意気な」の定義であるはずですが)、いずれにせよ、これは私が考えたものです:
- 管理ページで外部ファイルを使用していませんが、整理されていません...HTMLをJS/ PHP/etcから分離するのが好きです
- ある種の.htaccess-fu?私のjsフォルダーへのアクセスを拒否すると、最終的に機能が損なわれるので、誰かがもっと良いアイデアを持っているのではないでしょうか。
- 私のjsファイルを(http://jscompress.com/または同様のもので)圧縮することは実際には解決策ではありませんが、それは物事を読みにくくします
これに関するどんな入力も素晴らしいでしょう。