ajaxRequest.openで使用するphpファイルを特定のページからアクセスできるように制限するにはどうすればよいですか?
この方法でユーザー名の多くの推測されたパスワードをチェックできるため、リモートフォームの投稿を防ぐためにセッションのようなものを使用したいと思います。
リファラーをチェックすることは安全な考えではないことを私は知っています。IPに基づく自動ブロックは安全ですか?
それがAjaxを介して投稿されているかどうかを確認し、そうでない場合は、誰もAjaxを介してリモート投稿できないため、拒否することをお勧めしますか?本当に安全ですか?
前もって感謝します
あなたは物事を混乱させています。POSTAJAXは、HTTPプロトコル(例: 、 )に依存して機能しますGET。したがって、AJAXを使用しても、人々がクエリを偽造するのを止めることはできません。と呼ばれるヘッダーがありますが、クライアントからのヘッダーとHTTP_X_REQUESTED_WITH同様に、信頼されるべきではありません。
リモートAJAX投稿に関する懸念は、クロスサイトリモート偽造またはCSRFとして知られるエクスプロイトに関連しています。これを防ぐ1つの方法は、CSRFトークンを使用することです(wikiページを読んでください)。あなたが(そう思われる)説明している問題は別のものです。
ログインを処理するとき、私はさまざまな失敗のしきい値を実装するのが好きです。
アカウントにログインしようとしてX回失敗すると、CAPTCHAが表示されます。これにより、正当なユーザーに(あまりにも多くの)迷惑をかけることなく、ボットを使用してパスワードをブルートフォース攻撃することを防ぐことができます。
X + Y回失敗すると、アカウントはZ時間ロックされます。
多くの失敗したログインがあなたのIPから来ているように見える場合、それはブロックされます。