我正在创建一个接受ajax调用(jquery)的应用程序,并将经过验证的用户返回一个条目令牌到网站。
比如说ajax叫做checkAuth.php,这个目录里还有其他所有的php文件。通过更改JS来验证另一个文件,例如checkMail.php:
var xmlRequest = $.ajax({
url: "checkAuth.php",
processData: false,
data: xmlDocument
});
将网址更改为checkMail.php并在网站中创建漏洞?
var xmlRequest = $.ajax({
url: "checkMail.php",
processData: false,
data: xmlDocument
});
虽然结果会返回一个不同的对象,但通过这样做会创建一个打开的门"也许恶意用户会继续发送请求以获取访问权限?我知道用户必须知道php文件存在但是我不确定如何在保持我的目录结构的同时安全地处理它。 请注意这不是我的实际代码,我不能用其他帖子澄清答案,或者我没有正确理解。
编辑:此外 - 这是否意味着使用jquery的任何网站都能够从服务器请求任何文件并创建漏洞?
How to authenticate an AJAX request to a PHP file?
答案 0 :(得分:0)
通常,任何AJAX请求都可以访问所有可通过http请求访问的文件,例如用户键入完整URL作为浏览器地址。
因此,您必须在PHP脚本的开头检查安全令牌或其他内容。
您可以使用.htaccess限制对文件夹或文件的访问,请参阅https://stackoverflow.com/a/11729748/3325396