-1

我正在构建一个调用电子邮件功能以发送电子邮件的站点。

我通过 $.post 从外部 Javascript 文件调用一个函数,如下例所示:

$.post('http://[mydomain]/email.php', {
    'Email': 'email@email.com',
    'Subject': 'This is the subject',
    'Text': 'This is the body'
}, function (data) {

});

但正如最近注意到的那样,任何人都可以将上述行写入浏览器控制台并发送他们想要的任何电子邮件(当然使用我的电子邮件地址)。

所以我的问题是:

有什么办法可以识别这个外部调用并阻止它们执行?

4

1 回答 1

1

为了一劳永逸地说明这一点:

  1. 您不能(或者可能不应该)限制用户在控制台中键入的内容
  2. 您的问题并不是用户可以在控制台中键入您的命令,而是与您通过网站的前端部分发送电子邮件的事实有关...

发送电子邮件、检查密码、注册用户等敏感操作绝不应在您网站的前端执行;它们应该始终在您网站的后端执行。当涉及到安全风险时,这是常识。

于 2017-10-12T07:59:11.363 回答