我托管了一个站点,文件建议将文件放在文件夹public_html 下。
我在根文件夹中有三个文件index.php(查看页面)、common.js 和result.php(php)。单击index.php(view) 文件中的按钮时,将触发result.php 的ajax 函数。
问题是每个人都可以直接访问result.php...
我试图制作文件夹结构,所有 php 文件(result.php)都在根目录后面的文件夹中。所以它不会使用重写规则或其他任何东西直接从浏览器访问。
请帮我解决这个问题...
【问题讨论】:
要使文件只能通过 ajax 访问,您可以使用:
public static function isAjax() {
return (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && $_SERVER['HTTP_X_REQUESTED_WITH']=="XMLHttpRequest");
}
它返回真或假。基本上,如果它返回 true,则让用户继续,否则停止它们。
注意事项:并非所有 JS 库/框架实际上都设置了此标头,但大多数(JQuery、Mootools 等)都设置了此标头,而且并非所有版本都设置了此标头,因此请确保在使用此标头之前您拥有最新版本的库/框架。
另外,如果用户欺骗了您的标题,那么就没有真正的方法可以阻止它们。
我倾向于将此作为阻止 AJAX 页面公开可见的前兆。我还使用参数完整性检查和存储在会话中的随机哈希(CSRF 类型的东西)来检查用户是否合法地访问 AJAX 页面。
【讨论】:
您无法通过移动它来保护它,因为无法区分对 result.php 的请求是否由来自 index.php 的合法 AJAX 调用触发,会话(或其他类型的令牌除外) )。
您需要使用 php 会话(或类似的东西)来:
【讨论】:
您不能通过 ajax 访问文件,然后无法通过正确的浏览器请求访问文件,因为 Ajax 调用的行为与网络浏览器相同。
【讨论】: