防止用户在 Javascript 中直接查看 PHP url

Question

我想阻止用户在 Javascript 中直接看到 PHP URL。 示例：

{
$.ajax(
{
    type: "POST",
    url: "search.php",
    data: dataString,
    cache: false,
    success: function(html)
    {
        $("#display").html(html).show();
    }
});
}return false;

是否有可能或以任何方式阻止用户在查看我的页面源时看到 php URL？有时用户可能会尝试直接打开 php url。

感谢您的帮助。

Answer 1

我（或任何客户）仍然可以使用任意数量的工具来解决这个问题（包括 99% 内置的浏览器中的内置调试器）——不值得混淆它。

如果您担心直接访问，请在脚本中检查 an AJAX request。 （仍然可以破解，但这是一个开始）。同样在previous answer 中提供：

<?php

  $isAjax = isset($_SERVER['HTTP_X_REQUESTED_WITH'])
         && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest';
  if (!$isAjax) die('Unauthorized access');

  /* rest of search.php */

Answer 2

如cmets中所述，

如何防止用户直接打开PHP url？

您应该在您的 php 中创建一个非常长的随机字符串（令牌）的会话并将其传递给 js ajax 函数，以便它与 ajax 请求一起发送令牌。在服务器端，您可以检查是否生成了相同的令牌。您可能希望尽快使令牌过期。

我不知道，如果它是标准方式，但可以为您提供一个开始。

Answer 3

好吧，把事情说清楚..

1. 一旦它在客户端（浏览器）上，您就无法隐藏它。用户仍然可以下载或查看客户端返回的源代码。
2. 实际上并不需要混淆，因为您只是让事情变得复杂而不是保护任何东西。
3. 但是任何服务器端代码 (PHP) 都不会显示，因为它是由服务器端处理的，服务器只返回服务器端代码的执行结果。

如果您遇到问题，您可以做的是检查 $_POST 和 $_GET 参数在到达您的 PHP 代码时是否有效，从而使每个 POST 和 GET 请求都有效且安全。有点像这样

<?php
  if(isset($_POST['username']) && isset($_POST['password'])){
    //everything seems fine
    echo 'ok';
  }
  else{
  //someone is doing a direct acess
     header('index.php');
  }
?>

或检查会话以仅为登录用户保护您的页面

  <?php
      if(isset($_SESSION['userid'])){
        //everything seems fine
        echo 'ok';
      }
      else{
      //someone is doing a direct acess
         header('index.php');
      }
    ?>