Heim > Backend-Entwicklung > PHP-Tutorial > 想到一个有关问题:代码有没有必要做ajax请求判断

想到一个有关问题:代码有没有必要做ajax请求判断

WBOY
Freigeben: 2016-06-13 12:54:23
Original
832 Leute haben es durchsucht

想到一个问题:代码有没有必要做ajax请求判断
以前做ajax都没做过是否是ajax请求的判断。
有个新同事说要做判断,才注意到这个。
我查了很多站点 像优酷
他们都没做ajax获取的判断。
是否有必要做这个判断呢。

ajax ?php
------解决方案--------------------
最好做,一般ajax请求的返回数据要求要高些
------解决方案--------------------
引用:
引用:最好做,一般ajax请求的返回数据要求要高些
我觉得做了最好 
不做也无妨,之前这样认为请求的结果也是要呈现的。

为什么像 优酷这样的站点 不做这个限制呢

谢谢版主大哥的回答


要看什么情况了,比如你的网站支持发布一个消息的功能,而这个是ajax请求,同时get方式传参即可。比如:msg.php?content=test。

那么如果你不做ajax判断的话,同时你的站点又是很火的那种站点(比如微博等),那么我就可以恶意攻击,在我的网站下面插入一个iframe,而这个iframe指向的是msg.php?content=我被攻击了,  那么一旦你访问我的站点,在你不知道的情况下,其实你的微博已经更新了一条消息“我被攻击了”,这是最常见的也是最简单的csrf攻击。

有的严重其实攻击渗透到银行流程中去,所以看你的需求了,ajax我建议还是做判断吧,最起码也要refer判断一下吧~
现在有些网站这种漏洞还是很严重的,两周前我还发现了一个已知的国内大型网站的这种漏洞,只要我在论坛里面发个帖子说大家都来看看(那个地址是我自己的测试服务器url),然后这个网站的一个投票数就会自动增多,很多人都在不知情的情况下帮我投票。。。

真心建议,做个判断吧~
------解决方案--------------------
关键看需求,程序说到底就是接收一个请求,返回一个结果
如果是可预见合理请求(在其他层次已经处理了不合理情况),就没必要在这个层次再判断
如果不可预见是否合理,则就算不是ajax也要做各种判断
例如表单提交,虽然客户端javascript做了判断,但仍然不能确定是否恶意提交

如果返回是面向一个特定的请求,例如API,那么肯定要检查的
至于攻击之类,难道不是ajax就不防范么?

记住一个原则:易入难出

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage