21

我正在使用 jquery ajax 将更新发布回我的服务器。我担心确保我已经采取了适当的措施,以便只有我的 AJAX 调用可以发布数据。

我的堆栈是针对 MySQL 后端的 Apache 上的 PHP。

建议非常感谢!

4

2 回答 2

28

页面中的 AJAX 调用可以发出的任何请求也可以由应用程序之外的人发出。如果操作正确,您将无法判断它们是作为来自您的 web 应用程序的 AJAX 调用的一部分还是通过手动/其他方式进行的。

当您说要确保只有您的 AJAX 调用可以发布数据时,我可以想到两种情况:您不希望恶意用户能够发布干扰另一个用户的数据用户的数据,或者您实际上希望将帖子限制在多请求操作的“流”中。

如果您关心第一种情况(有人向/作为另一个用户发布恶意数据),无论您是否使用 AJAX,解决方案都是相同的——您只需通过任何必要的方式对用户进行身份验证——通常通过会话曲奇饼。

如果您关心第二种情况,那么您将不得不在流程的每个步骤中发布一个唯一令牌,并将预期的令牌存储在服务器端。然后,当发出请求时,检查服务器端是否存在正在执行的操作的相应条目,以及预期的令牌是否匹配,以及该令牌是否尚未使用。如果没有,则拒绝该请求,如果有,则将该令牌标记为已使用并处理该请求。

如果您关心的不是这两种情况之一,那么答案将取决于您提供的更多细节。

于 2008-09-01T21:16:52.590 回答
5

使用会话确保任何 Ajax 发布都在经过身份验证的上下文中完成。将您的 Ajax 代码视为服务器的另一个客户端,以这种方式解决身份验证问题变得更加容易。

于 2008-09-01T21:15:59.037 回答