我有一个名为“File_upload”的控制器,它通过文件上传器表单中的 ajax 调用。作为安全强化的一部分,我想确保 File_upload 控制器不能通过浏览器或任何其他“黑客”调用,并且只能通过表单调用。
有没有人对如何做到这一点有任何建议>它会通过某种令牌来完成吗?如果有人有任何想法或代码片段可以让我朝着正确的方向前进,我将不胜感激。
我假设文件上传表单必须将某种信息传递给控制器,并且控制器会在继续之前检查它的存在。该应用程序将在下周对文件上传器进行一些严格的安全测试,因此我想抢先确保上传器不会被恶意黑客覆盖。
感谢期待
“不能通过浏览器或任何其他“黑客”调用,只能通过表单调用。”
这实际上并没有多大意义——您无法控制从何处调用它,只能控制将哪些信息传递给服务器的函数。
你可以控制一些事情,比如它是否是一个 ajax 请求:
http://ellislab.com/codeigniter/user-guide/libraries/input.html $this->input->is_ajax_request()
所以是的,您可以设置某种令牌系统来检查请求是否具有所需的信息。通常,只需检查发出请求的用户是否已登录就足够了;让您的登录身份验证系统处理安全性
如果您不清楚我在第一行中关于不控制从何处调用它的意思,请阅读以下内容:
http://codebyjeff.com/blog/2012/12/web-form-security-avoiding-common-mistakes