在PHP中检测Ajax并确保请求来自我自己的网站
我使用PHP后端通过检查中的值来检测AJAX请求$_SERVER['HTTP_X_REQUESTED_WITH']。
这给了我一个可靠的检测,确保使用AJAX技术发出请求。
如何确保请求来自我自己的域,而不是外部域/机器人?
www.example.com/ajax?true可能允许任何人进行AJAX呼叫并削减信息。
我可以为通常进入我的网站的每个人进行会话,然后允许AJAX调用..但是也可以伪造。
这些天都重要吗?
问题答案:
让你控制
- 生成访问令牌
- 储存在会话中以供以后比较
在您看来
- 将访问令牌html" target="_blank">声明为JS变量
- 随每个请求发送令牌
回到你的控制器
- 验证HTTP_X_REQUESTED_WITH
- 验证令牌
查看来自OpenAjax的这些安全准则。
另外,请阅读位于encodinghorror.com Annie链接上的文章。
-
doPost方法只有HttpServletRequest和HttpServletResponse对象作为参数。 使用Jetty 9.2.4和Servlet3.1 API。
-
问题内容: 是否可以通过通用JavaScript(而不是框架)检测网页上的全局AJAX调用(尤其是响应)? 我已经在StackOverflow上审查了“JavaScript检测到AJAX事件 ” 的问题,并尝试将接受的答案的代码修补到我的应用程序中,但是没有用。之前,我从未使用AJAX做任何事情,我还不足以对其进行修改以使其正常工作。 我不需要任何花哨的东西,我只需要检测所有(特定的,实际上,但是
-
我正在浏览一个似乎通过javascript填充数据的网页。我想为我的浏览器使用一个扩展,它可以让我看到对什么url发出了什么请求,以及从请求中返回了什么数据。 任何帮助都将不胜感激。
-
本文向大家介绍PHP+Ajax实时自动检测是否联网的方法,包括了PHP+Ajax实时自动检测是否联网的方法的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了PHP+Ajax实时自动检测是否联网的方法。分享给大家供大家参考。具体实现方法如下: html部分代码: php部分代码: 希望本文所述对大家的php程序设计有所帮助。
-
问题内容: 我将Selenium与PYTEST结合使用来测试站点。每当测试失败时(并且仅在失败时),我都希望对页面进行截图。 有办法可以做到吗?关于此文档(或者我找不到它),文档很安静。我认为那会是 它将返回布尔值或其他内容。 这就是我想要做的: 当然,这将添加到终结器中。能做到吗 使用pytest 2.3.3 谢谢。 问题答案: 可以做到,但是不能直接做到。我刚刚在docs中添加了一个示例。默认
-
我想通过AJAX请求检索我的本地JSON文件数据。当我在Chrome中启动html时,它产生了错误: XMLHttpRequest无法加载。跨源请求仅支持以下协议方案:超文本传输协议、数据、chrome、chrome-扩展、https、chrome-扩展-资源。 以下是我的代码: 如果我添加<code>数据类型:“jsonp”,则 它返回我错误函数。