当前位置: 首页 > 面试题库 >

如何限制仅从我网站内的页面访问某些PHP页面?

姚乐家
2023-03-14
问题内容

我的网站上有一个PHP页面,该页面从数据库中检索数据以显示在我的网站中。该页面通过AJAX调用。我该如何限制仅从我网站上的页面访问它,以便想要滥用它
而不 从网站(例如从其服务器发布HTTP请求)中获取该数据的用户本身无法这样做?


问题答案:

由于XHR的同源策略,在另一个站点上运行的JavaScript将无法访问您的站点。但是,没有什么能阻止某人构建PHP
+ CURL脚本来“代理”您的ajax支持的数据,以使其看起来好像在服务器上运行。试图将客户列入黑名单很麻烦,IP地址便宜,免费的HTTP代理很多。

简而言之,您的javascript没有什么特别的。客户可以做任何他想做的事,而你不能强迫他做事,这是“客户站点信任”的基础。黑客可以使用tamperdata甚至是firebug之类的东西来识别HTTP请求,他将能够重播这些请求或使用CURL伪造它们。

您可以尝试混淆您的JavaScript。但是最终,攻击者将只是重播http请求,因此您绝对可以做些事情。



 类似资料:
  • 问题内容: 我对angularJS很陌生。我正在寻找从RESTful API访问服务的方法,但我一无所知。我怎样才能做到这一点? 问题答案: 选项1:$ http服务 AngularJS提供的服务完全可以满足您的需求:使用JSON将AJAX请求发送到Web服务并从中接收数据(非常适合与REST服务通信)。 举个例子(取自AngularJS文档,稍作改动): 选项2:$资源服务 请注意,Angula

  • 网站概况(来源网站、搜索词、入口页面、受访页面) 关键参数 报告 method metrics(指标, 数据单位) 其他参数 网站概况(来源网站、搜索词、入口页面、受访页面) overview/getCommonTrackRpt pv_count (浏览量(PV)) 无 示例 查看网站概况 百度商业账号 请求 { "header": { "username": "zhang

  • 我家中做了个 all in one 的小主机,安装了 esxi8.0系统,其中安装了 openWrt,win7,centos 之前是电信送的猫做路由器,我现在联系了电信更改了模式,在 openWrt 中拨号上网,看下图已经拨号成功,并且家中电视机已经可以正常看在线视频了。同时我修改了 openWrt 的管理页面的访问端口为7070,不过我在家中局域网访问 openWrt 仍然可以通过 http:/

  • 我用Node.js做了一个网站作为服务器。正如我所知,node.js文件应该通过在terminal中键入命令开始工作,所以我不确定Github页面是否支持node.js-hosting。那我该怎么办呢?

  • 问题内容: 我已经使用Go 并打包了一些代码来执行Go进程之间的连接,但是我想知道是否有一种方法可以仅使用标准库中的服务器工具来连接到HTTP JSONRPC服务器(这不是我编写时遇到的问题)我自己的,只是如果不想的话就不想做)。 这是我的基本服务器设置: 而且,我希望能够从网页或简单的命令行CURL调用-只需常规POST中就能实现。 但是,此行:http : //golang.org/src/n