我刚刚完成了第一个jquery ajax调用页面的编码。它每隔1或2秒调用一次php页面并返回json数据。
该页面基本上显示用户正在查看的留言板的帖子。有多个留言板,一些用户不应该能够查看某些板,但是相同的php页面用于呼叫。它使用由ajax脚本发送的$ id来显示消息。
我的问题是如何保护php页面不被直接操作和打开?用户可以通过直接打开文件并更改URL来轻松更改电路板ID。更不用说其他方式。
如果没有简单的方法,那么我想我必须复制主页的大部分内容以检查用户是否具有必要的权限。这意味着更多的服务器负载,因为页面每秒更新一次。
答案 0 :(得分:3)
服务器以与普通页面请求相同的方式处理Ajax调用。在提供页面之前调用所有身份验证和授权机制。要确保只是注销并尝试使用AJAX从您的页面获取内容。如果您的网页要求您登录网站,则该功能无效。
答案 1 :(得分:1)
在ajax脚本中,您也可以使用$_SESSION - 您可以检查当前用户是否具有特定ID的权限 - 如果不是 - 只是拒绝访问。
答案 2 :(得分:0)
保存会话中的权限并检查是否存在某个标志?
答案 3 :(得分:0)
如果AJAX调用可以打开页面,那么用户也可以依靠明确的技术来保护页面。休息你可以按照@TheVillageIdiot在他的回答中说的那样。