Question

我要求反馈。我一直试图找到一种验证客户端发送的POST数据的好方法，并且遇到了Content-MD5标题。

这是我的解决方案，第一部分是以简单易用的插件形式使用jQuery .ajax（）函数。它确实需要pidder encryption libraries用于Content-MD5标头所需的md5（）和base64_encode（）函数。

<script src="javascripts/pidcrypt.js"></script>
<script src="javascripts/pidcrypt_util.js"></script>
<script src="javascripts/md5.js"></script>
<script>
(function($){
 $.fn.AJAX = function(method) {
  var defaults = {
   formID: $(this),
   appID: 'jQuery.AJAX',
   cache: true,
   context: $(this),
   type: 'json',
   callback: function(){},
   errCallback: function(){}
  };
  var methods = {
   init: function(o){
    var opts = $.extend({}, defaults, o);
    $('#'+opts.formID.attr('id')).on('submit', function(e){
     e.preventDefault();
     $.ajax({
      form: opts.formID.attr('id'),
      url: opts.formID.attr('action'),
      type: opts.formID.attr('method'),
      data: opts.formID.serialize(),
      context: opts.context,
      cache: opts.cache,
      crossDomain: (opts.type==='jsonp') ? true : false,
      dataType: opts.type,
      beforeSend: function(xhr) {
       xhr.setRequestHeader('X-Alt-Referer', opts.appID);
       if (opt.formID.serialize()){
        xhr.setRequestHeader('X-Alt-Referer', pidCryptUtil.encodeBase64(pidCrypt.MD5($(this).serialize())));
       } else {
        xhr.setRequestHeader('X-Alt-Referer', pidCryptUtil.encodeBase64(pidCrypt.MD5(appID)));
       }
      },
      success: function(x){
       ((opts.callback)&&($.isFunction(opts.callback))) ?
         opts.callback.call(x) : console.log(x);
      },
      error: function(xhr, status, error){
       ((opts.errCallback)&&($.isFunction(opts.errCallback))) ?
         opts.errCallback.call(xhr, status, error) : console.log(xhr+status+error);
      }
     });
     return true;
    });
   }
  };
  if (methods[method]){
   return methods[method].apply(this, Array.prototype.slice.call(arguments, 1));
  } else if ((typeof method==='object')||(!method)){
   return methods.init.apply(this, arguments);
  } else {
   console.log('Method '+method+' does not exist');
  }
 };
})(jQuery);}

要使用插件，只需创建一个像这样的HTML表单......

<form id="test" name="test" method="post" action="proxy.php">
 <label for="name">Name: <span class="required">*</span></label>
  <input type="text" id="name" name="name" value="" placeholder="John Doe" required="required" />
 <label for="email">Email Address: <span class="required">*</span></label>
  <input type="email" id="email" name="email" value="" placeholder="johndoe@example.com" required="required" />
 <label for="email">Confirm Email: <span class="required">*</span></label>
  <input type="email" id="email" name="email" value="" placeholder="johndoe@example.com" required="required" />
</form>

现在将插件绑定到这样的表单......

$('#test').AJAX();

此时，将POST数据发送到proxy.php脚本的工作客户端方法已经到位。这里的一个主要区别是，不是仅发送表单发布数据，而是一些自定义标头与XMLHttpRequest的表单数据一起发送。

现在，在服务器上执行了几个简单的验证。首先检查以确保请求是XMLHttpRequest，然后检查以确保X-Alt-Referer匹配，接下来它将检查以确保后处理数据在处理之前匹配相同的后数据（序列化）哈希匹配。从技术上讲，它的工作方式与校验和非常相似。

<?php
/* set the custom applicaiton string */
$appID = 'jQuery.AJAX'; // the plug-in URL https://github.com/jas-/jQuery.AJAX

/* verify an XMLHttpRequest was made */
if (strcmp($_SERVER['HTTP_X_REQUESTED_WITH'], 'XMLHttpRequest')!==0){
 exit('An XMLHttpRequest was not made');
}

/* verify associated X-ALT-Header value */
if (strcmp($_SERVER['HTTP_X_ALT_REFERER'], $appID)!==0){
 exit('The X-Alt-Referer information recieved is invalid');
}

/* verify associated Content-MD5 header value */
if (strcmp(base64_decode($_SERVER['HTTP_CONTENT_MD5']), md5(serialize($_POST)))!==0){
 exit('The Content-MD5 value is incorrect');
}
?>

有没有人有任何理由不使用这种POST数据验证？提前谢谢。

Answer 1

你想要保护什么？ Content-MD5标头是一种不错的解决方案，可以防止TCP校验和未捕获的传输错误，这种情况比大多数人意识到的更频繁。针对主动修改数据的攻击者，攻击者可以重新计算标题，这是完全没用的。

不使用此标头的唯一原因是性能之一，客户端和服务器端都存在开销（例如，想想移动客户端）。你必须通过它为你提供的（小）保护来减轻成本。

我发现blog entry对此事有所帮助。

XMLHttpRequests，POST数据自定义标头和验证

1 个答案: