Question

У меня есть веб-служба XML, которая выполняет вызовы javascript с использованием jQuery. Это может выводить JSON или XML на основе параметров ввода.

Есть ли способ помешать кому-либо просто найти URL-адрес вызова AJAX, а затем загрузить его в скрипт cURL и проанализировать данные.

Пользователи сайта не проходят аутентификацию, но открыты для некоторых творческих методов! Поскольку это AJAX, установлен ли пользовательский агент или я могу каким-либо образом заблокировать его с помощью файла .htaccess?

Laph · Answer 1 · 15 февраля 2011

В этом случае реальной защиты нет, поскольку все, что браузер отправляет на сервер, может быть подделано.

Одной из идей было бы послать (сессионный) cookie клиенту с некоторыми зашифрованными данными. Когда Ajax-запрос сделан, браузер отправляет обратно cookie-данные. Ваш php-скрипт, генерирующий ajax-ответ, может проверить данные cookie перед тем, как отправлять ответ. Но это просто гарантирует, что «внешняя» HTML-страница вызывается перед «внутренним» Ajax-запросом.

Jack · Answer 2 · 15 февраля 2011

Большинство запросов Ajax отправляют заголовок X_REQUESTED_WITH = XMLHttpRequest.Таким образом, в качестве дополнительной проверки для заголовка X_REQUESTED_WITH

Но это все равно не остановит людей, которые находят URL-адреса и запускают их, если они знают, что делают.

Защита PHP XML веб-службы AJAX

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Защита PHP XML веб-службы AJAX

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов