私は初心者で、今日コードを書いているときに突然セキュリティの問題が発生しました。
さまざまな ajax リクエストについて、ハッカーは外部からコードを送信できますか? JS ファイル ブラウザはそれを見ることができる、つまりコードを知ることができるからです では、ハッカーが私たちのドメイン名を使用して外部に送信した場合、PHP はそれが合法かどうかを判断できるでしょうか?たとえば、自分のファイルが送信されたかどうかを判断しますか?
たとえば、私の js ファイルにはコード セクションがあります
$('input').click(function(){
$.post('index.php',{a:xx,b:xx},function(a){
xxxxx
})
})
那么如果黑客通过外部提交
xxxxxxxxxxx
$('input').click(function(){
xxxxxx
$.post('http://www.xxxx.com/index.php',{a:xx,b:xx},function(a){
xxxxx
})
xxxxxx
})
xxxxxxxxxxxそれを防ぐには、PHP でどのように記述しますか?
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
CSRF について理解していますか?
外部からの提出は正常であり、注射は手順によって防止する必要があります。
あなたの言ったことによると、外部のAjaxシミュレーションによって送信されたデータはクロスドメインです。
これに対処する方法は複数あります。例:
1. ログインしたメンバーのみが閲覧できるようにしたり、ドメイン名を制限したりすることができます。しかし、この障害はいつでも克服できます。
2. セッションを使用してトークンを生成します。セッションが正当である場合は、毎回新しいトークンが存在することを確認します。
3. アクセスログを分析し、サーバーレベルで不審なIPアクセスを制限します。
4. 各 IP の操作密度を記録します。頻度が高い場合は、時々確認コードを要求できます。
...
多くの方法がありますが、どれが最適というわけではありません。多面的なアプローチを取ることをお勧めします。採用希望〜