要使文件只能通过 ajax 访问,您可以使用:
public static function isAjax() {
return (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && $_SERVER['HTTP_X_REQUESTED_WITH']=="XMLHttpRequest");
}
它返回真或假。基本上,如果它返回 true,则让用户继续,否则停止它们。
注意事项:并非所有 JS 库/框架实际上都设置了此标头,但大多数(JQuery、Mootools 等)都设置了此标头,并非所有版本,因此请确保在使用之前拥有最新版本的库/框架。
另外,如果用户欺骗了您的标题,那么就没有真正的方法可以阻止它们。
我倾向于将此作为阻止 AJAX 页面公开可见的前兆。我还使用参数完整性检查和存储在会话中的随机哈希(CSRF 类型的东西)来检查用户是否合法地访问 AJAX 页面。
您无法通过移动它来保护它,因为除了会话(或其他类型的令牌)之外,无法区分请求result.php是否由合法的 AJAX 调用触发。
您需要使用 php 会话(或等效的东西)来: index.php
您无法通过 ajax 访问文件,然后无法通过正确的浏览器请求访问文件,因为 Ajax 调用正在执行与 Web 浏览器相同的行为。