保护 jquery ajax 到 php 的连接

Question

我的 ajax 代码是：

$.ajax({
    type: "POST",
    url: "save.php",
    data: {
        name: $(this).attr('name'),
        value: $(this).val(),
        id: <?php if(!empty($_SESSION['user'])) echo $_SESSION['user'];?>
    }
});

在 save.php 中我正在检查这个条件：

if (empty($_SERVER['HTTP_X_REQUESTED_WITH']) || $_SESSION['user']!=$_POST['id']){
    //then show an error
}

这是防止未经授权调用 save.php 的正确方法吗？

Answer 1

一般......

客户端的任何东西都是不安全的。因此，任何脚本都可以 使用任何参数集随时从任何人调用。

保护特定脚本

因此，我们需要在服务器端准备一些东西，以便稍后验证某些东西是否有效。

我们称之为安全令牌。安全令牌需要是足够长且随机的字符串。安全令牌需要不可预测。在这种情况下，只有服务器端应用程序可以作为此令牌的来源。

将此安全令牌保存到用户会话并将其传递给客户端。将安全令牌与要保护的脚本调用相关联。您的会话可能具有以下属性：

$_SERVER[ 'sys$securityTokens' ] 
  = array(
     'AHSsd67sdSJDH/D6wehsd' 
       => array( 'script' => 'sensibleScript.php',
                 'params' => array( 'kid' => 3, 'var5' => 12 )
               ),
     'KSD87sd78sdsfk(DDF/sd' 
       => array( 'script' => 'someOhterSensibleScript.php',
                 'params' => array( 'value' => 'welcome!' )
               )
     );

请注意，此结构将安全令牌与脚本名称和有效参数相关联，以便稍后调用。

如果客户端需要使用 JavaScript 调用脚本，它会将安全令牌传递回服务器。

在服务器端...

如果收到一个合理的脚本请求，并且请求中包含正确的安全令牌，请从会话中删除安全令牌并执行脚本。

如果合理的脚本请求没有附带安全令牌，则拒绝该请求。

Answer 2

我知道你要做什么..

最好这样做：

$.ajax({
  type: "POST",
  url: "save.php",
  data: {
      name: $(this).attr('name'),
      value: $(this).val(),
      id: <?php if(!empty($_SESSION['user'])) echo $_SESSION['user'];?>
  }
});

并在 save.php 中检查 这种情况：

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) || strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest' ||  $_SESSION['user']!=$_POST['id']){
   //here you can show an error 
}

这个新条件还将检查是否通过 ajax 发出的请求？

如您所见，它并不是对用户的真正限制。如果你在服务器端做会更好。你可以看看这个Restrict direct page access

它是安全的，但也有更多的方法..