我正在从example.com/js/script.js到example.com/inc/ajax.php进行AJAX调用,如果用户尝试直接访问它,则需要拒绝直接访问PHP文件他们的浏览器。
接受的答案here建议检查HTTP标头。这种方法的问题是标题很容易被欺骗。
如何检查是否已直接访问了一个名为AJAX的PHP文件并提供403 Forbidden响应?
答案 0 :(得分:1)
由于每个AJAX请求都是在后台发生的普通浏览器请求,因此可以使用大多数浏览器提供的开发人员工具对其进行分析和复制。
我能想到的唯一一件事是您使用ajax请求发送的一次性令牌,该请求可以获得经过验证和销毁的服务器端。但即便如此,在某些时候也可能会被欺骗。