防止ajax呼叫被劫持

时间:2015-02-03 21:58:36

标签: php ajax

我已经多次遇到这个问题并且从来没有想出一个优雅的解决方案,所以我希望我在谷歌搜索时间里错过了它。

情况:我有一个提交数据的AJAX端点。 javascript在我的服务器上托管/生成(想想Google Analytics)。除了从语法上检查它是否是有效的电子邮件地址之外,我无法验证所述数据。我想阻止脚本无休止地调用端点。

尝试过的解决方案/为什么他们不一定会工作:

  • 通过IP限制呼叫/无法始终预测一段时间内的呼叫总数,特别是因为IP可以代理和/或多个人可能在一个IP后面

    < / LI>
  • 生成令牌/可以直接在源中查看并在重新提交之前简单地删除

  • $_SERVER['HTTP_X_REQUESTED_WITH'] /完全可欺骗

我没有安全专家,但我知道这是一个容易在需要一定精度的环境中扭曲数据的漏洞。

0 个答案:

没有答案