这是我第一次为需要对AJAX请求进行服务器端身份验证的前端项目工作。我遇到了一些问题,比如我无法调用session_start作为“目标页面”的起始行,因为这会让我得到一个PHP警告:
Warning: session_start() [function.session-start]:
Cannot send session cache limiter -
headers already sent (output started at C:\xampp\htdocs\comic\app\ajaxInsert
Book.php:1)
in C:\xampp\htdocs\comic\app\common.php on line 10
我认为这意味着我必须弄清楚除了检查PHP会话变量以验证此PHP脚本的“调用者”之外的其他方法,这是我的方法:
我有一个“受保护”的PHP页面,必须用作我的javascript的“容器”,通过jQuery $.ajax();方法发布表单
在我的“接收器”PHP脚本中,我得到的是:
<?php
define(BOOKS_TABLE, "books");
define(APPROOT, "/comic/");
define(CORRECT_REFERER, "/protected/staff/addBook.php");
function isRefererCorrect()
{
// the following line evaluates the relative path for the referer uri,
// Say, $_SERVER['HTTP_REFERER'] returns "http://localhost/comic/protected/staff/addBook.php"
// Then the part we concern is just this "/protected/staff/addBook.php"
$referer = substr($_SERVER['HTTP_REFERER'], 6 + strrpos($_SERVER['HTTP_REFERER'], APPROOT));
return (strnatcmp(CORRECT_REFERER, $referer) == 0) ? true : false;
}
//http://stackoverflow.com/questions/267546/correct-http-header-for-json-file
header('Content-type: application/json charset=UTF-8');
header('Cache-Control: no-cache, must-revalidate');
echo json_encode(array
(
"feedback"=>"ok",
"info"=>isRefererCorrect()
));
?>
我的代码有效,但我想知道这种方法有任何安全隐患吗?有人可以操纵帖子请求,以便他可以假装来电者javascript来自“受保护”页面吗?
更新
刚刚意识到我可以让安全页面的javascript根据ajax请求生成一个唯一的令牌,并使用传递的令牌值来验证它是否是来自安全页面的“真正的ajax调用” < / p>
这会好得多吗?或者我应该只加密帖子请求的内容?
再次更新
经过两个小时循环浏览包含的页面后,我终于发现这种奇怪的情况是由我的PHP页面编码造成的......
我试了一下Notepad ++并且不小心选择了带有字节顺序标记的UTF-8页面编码,所以由于对这一行的“怪异”解释,我不断收到警告信息:
<?php
对我来说是一个很好的教训......
非常感谢任何提示或建议。
答案 0 :(得分:3)
从技术上看,有人可以向您发送一个请求,其中推荐人为127.0.0.1,0.0.0.0或几乎无论他们想要什么,而不会触及该网站;所以,依靠它可能不是最好的方法。
另外:你可以并且应该使用php_session - 你只需要调用session_start();在任何其他任何事情发送之前(因为错误明确指出:标题已经发送)。从错误判断
(输出始于 C:\ XAMPP \ htdocs中\相声\程序\ ajaxInsert book.php中:1)
这可能只是文件开头的换行符,即
//empty line
<?php
//code
广告。更新: 它可能会让事情变得更加安全;鉴于创建令牌的页面只能由具有所需权限的人访问;好像没问题。虽然在阅读你的评论之后我相信你在某个地方有一些不必要的空白,因为会话似乎是验证AJAX请求的完美方式。