我要求反馈。我一直试图找到一种验证客户端发送的POST数据的好方法,并且遇到了Content-MD5标题。
这是我的解决方案,第一部分是以简单易用的插件形式使用jQuery .ajax()函数。它确实需要pidder encryption libraries用于Content-MD5标头所需的md5()和base64_encode()函数。
<script src="javascripts/pidcrypt.js"></script>
<script src="javascripts/pidcrypt_util.js"></script>
<script src="javascripts/md5.js"></script>
<script>
(function($){
$.fn.AJAX = function(method) {
var defaults = {
formID: $(this),
appID: 'jQuery.AJAX',
cache: true,
context: $(this),
type: 'json',
callback: function(){},
errCallback: function(){}
};
var methods = {
init: function(o){
var opts = $.extend({}, defaults, o);
$('#'+opts.formID.attr('id')).on('submit', function(e){
e.preventDefault();
$.ajax({
form: opts.formID.attr('id'),
url: opts.formID.attr('action'),
type: opts.formID.attr('method'),
data: opts.formID.serialize(),
context: opts.context,
cache: opts.cache,
crossDomain: (opts.type==='jsonp') ? true : false,
dataType: opts.type,
beforeSend: function(xhr) {
xhr.setRequestHeader('X-Alt-Referer', opts.appID);
if (opt.formID.serialize()){
xhr.setRequestHeader('X-Alt-Referer', pidCryptUtil.encodeBase64(pidCrypt.MD5($(this).serialize())));
} else {
xhr.setRequestHeader('X-Alt-Referer', pidCryptUtil.encodeBase64(pidCrypt.MD5(appID)));
}
},
success: function(x){
((opts.callback)&&($.isFunction(opts.callback))) ?
opts.callback.call(x) : console.log(x);
},
error: function(xhr, status, error){
((opts.errCallback)&&($.isFunction(opts.errCallback))) ?
opts.errCallback.call(xhr, status, error) : console.log(xhr+status+error);
}
});
return true;
});
}
};
if (methods[method]){
return methods[method].apply(this, Array.prototype.slice.call(arguments, 1));
} else if ((typeof method==='object')||(!method)){
return methods.init.apply(this, arguments);
} else {
console.log('Method '+method+' does not exist');
}
};
})(jQuery);}
要使用插件,只需创建一个像这样的HTML表单......
<form id="test" name="test" method="post" action="proxy.php">
<label for="name">Name: <span class="required">*</span></label>
<input type="text" id="name" name="name" value="" placeholder="John Doe" required="required" />
<label for="email">Email Address: <span class="required">*</span></label>
<input type="email" id="email" name="email" value="" placeholder="johndoe@example.com" required="required" />
<label for="email">Confirm Email: <span class="required">*</span></label>
<input type="email" id="email" name="email" value="" placeholder="johndoe@example.com" required="required" />
</form>
现在将插件绑定到这样的表单......
$('#test').AJAX();
此时,将POST数据发送到proxy.php脚本的工作客户端方法已经到位。这里的一个主要区别是,不是仅发送表单发布数据,而是一些自定义标头与XMLHttpRequest的表单数据一起发送。
现在,在服务器上执行了几个简单的验证。首先检查以确保请求是XMLHttpRequest,然后检查以确保X-Alt-Referer匹配,接下来它将检查以确保后处理数据在处理之前匹配相同的后数据(序列化)哈希匹配。从技术上讲,它的工作方式与校验和非常相似。
<?php
/* set the custom applicaiton string */
$appID = 'jQuery.AJAX'; // the plug-in URL https://github.com/jas-/jQuery.AJAX
/* verify an XMLHttpRequest was made */
if (strcmp($_SERVER['HTTP_X_REQUESTED_WITH'], 'XMLHttpRequest')!==0){
exit('An XMLHttpRequest was not made');
}
/* verify associated X-ALT-Header value */
if (strcmp($_SERVER['HTTP_X_ALT_REFERER'], $appID)!==0){
exit('The X-Alt-Referer information recieved is invalid');
}
/* verify associated Content-MD5 header value */
if (strcmp(base64_decode($_SERVER['HTTP_CONTENT_MD5']), md5(serialize($_POST)))!==0){
exit('The Content-MD5 value is incorrect');
}
?>
有没有人有任何理由不使用这种POST数据验证?提前谢谢。
答案 0 :(得分:0)
你想要保护什么? Content-MD5标头是一种不错的解决方案,可以防止TCP校验和未捕获的传输错误,这种情况比大多数人意识到的更频繁。针对主动修改数据的攻击者,攻击者可以重新计算标题,这是完全没用的。
不使用此标头的唯一原因是性能之一,客户端和服务器端都存在开销(例如,想想移动客户端)。你必须通过它为你提供的(小)保护来减轻成本。
我发现blog entry对此事有所帮助。