PHP安全性,仅允许来自特定URL的$ _REQUEST
我有一个简单的PHP脚本,它接受来自javascript Ajax调用的$_REQUEST并向数据库添加帖子
但我需要确保只允许来自我的域名的javascript请求,以防止有人向我的数据库提交数以千计的垃圾帖子。
我的问题是,如何确保我的脚本仅接受来自我的域的$_REQUEST?
由于
2 个答案:
答案 0 :(得分:3)
简短的回答是:你不能。
听起来就像你需要引入针对CSRF的常规防御(即生成随机安全令牌并将其存储在cookie(或会话)以及HTML文档中。然后你提交令牌作为您的请求的一部分,并将其与cookie中的令牌进行比较。如果它们匹配,那么它是来自用户的故意帖子而不是他们的浏览器被其他网站欺骗提出请求。)
这不会阻止人们提交数以千计的垃圾邮件"虽然。您还需要对用户进行身份验证,并在允许用户通过之前检查他们是否有权提交。
您还可以考虑包括限速检查和垃圾邮件过滤。
答案 1 :(得分:0)
你使用的秘密'密钥,响应和远程IP验证。
Google为您提供了
- https://developers.google.com/recaptcha/docs/verify
- https://developers.google.com/recaptcha/docs/display
- https://developers.google.com/recaptcha/docs/invisible#auto_render
就像一个魅力。 实施后,您可以在此处获得 ADMIN面板:
此时您将域设置为仅限您的网址。
您可以执行所需操作,并确保使用服务器端和客户端集成的两个密钥从您的域验证表单。如果有人试图生成"键"使用他们的域名recaptcha会将其检测为垃圾邮件。 (参见上面的验证链接)
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?