我正在制作音乐网络应用。我正在添加一个功能,每首歌旁边都有一个按钮,可以从数据库中删除它。该页面将通过将参数songId发送到将处理它的PHP页面来实现此目的。现在,我想阻止人们从远程服务器向该PHP页面发送POST请求。我可以检查哪些条件来限制POST请求仅来自我的音乐网络应用程序或localhost。
答案 0 :(得分:0)
if($_SERVER['REMOTE_ADDR'] != '127.0.0.1' && $_SERVER['REMOTE_ADDR'] != '::1') {
exit('access denied');
}
但是,这不会保护您免受CSRF的攻击。为了防止恶意网站在提交时(可能通过JavaScript自动)创建一个POST到您的应用程序的表单,您需要通过攻击者网站无法知道的秘密令牌实施正确的CSRF保护。