合法性に関する質問
按键盘手指磨破皮
按键盘手指磨破皮 2017-09-01 14:07:24
0
3
1775

私は初心者で、今日コードを書いているときに突然セキュリティの問題が発生しました。

さまざまな ajax リクエストについて、ハッカーは外部からコードを送信できますか? JS ファイル ブラウザはそれを見ることができる、つまりコードを知ることができるからです では、ハッカーが私たちのドメイン名を使用して外部に送信した場合、PHP はそれが合法かどうかを判断できるでしょうか?たとえば、自分のファイルが送信されたかどうかを判断しますか?

たとえば、私の js ファイルにはコード セクションがあります

$('input').click(function(){
    $.post('index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
})
那么如果黑客通过外部提交
xxxxxxxxxxx
$('input').click(function(){
xxxxxx
    $.post('http://www.xxxx.com/index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
xxxxxx
})
xxxxxxxxxxx

それを防ぐには、PHP でどのように記述しますか?

按键盘手指磨破皮
按键盘手指磨破皮

全員に返信(3)
MrSwan

CSRF について理解していますか?

いいねを押す +0
phpcn_u22108

外部からの提出は正常であり、注射は手順によって防止する必要があります。

いいねを押す +0
  • 返事 悪意のある POST により、注文がスワイプされ、量が増加するなどの可能性があります。
    按键盘手指磨破皮 著者 2017-09-01 20:03:07
ringa_lee

あなたの言ったことによると、外部のAjaxシミュレーションによって送信されたデータはクロスドメインです。

これに対処する方法は複数あります。例:

1. ログインしたメンバーのみが閲覧できるようにしたり、ドメイン名を制限したりすることができます。しかし、この障害はいつでも克服できます。

2. セッションを使用してトークンを生成します。セッションが正当である場合は、毎回新しいトークンが存在することを確認します。

3. アクセスログを分析し、サーバーレベルで不審なIPアクセスを制限します。

4. 各 IP の操作密度を記録します。頻度が高い場合は、時々確認コードを要求できます。

...

多くの方法がありますが、どれが最適というわけではありません。多面的なアプローチを取ることをお勧めします。採用希望〜

いいねを押す +0
  • 返事 これらの方法はあまり信頼できるとは思えません... パケット キャプチャ ソフトウェアでパケットをキャプチャした後、たとえば、インターネット上には多くの IP があり、ファイルにアクセスしてセッションをキャプチャできます。使用済み。 PHP を学ぶ上で最も重要なことは、ハッキングされないようにすることだと感じています。私の Web サイトは常にハッキングされ、コード化され、違法に投稿されています。
    按键盘手指磨破皮 著者 2017-09-01 16:06:46
  • 返事 分かりました、答えてくれてありがとう
    按键盘手指磨破皮 著者 2017-09-01 16:22:31
  • 返事 絶対的な方法はありません。サーバーに重点を置き、すべての方法を使用すれば、他の人はあなたのサイトを簡単に攻撃できなくなります。あなたはそれほど人気のあるサイトではありません。人々は一日中何もせずに座って、毎日あなたのサイトを攻撃することについて調査したり考えたりすることはできません。
    ringa_lee 著者 2017-09-01 16:20:36
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート