这是一个很好的Ajax安全实践吗？

Question

在现代网址格式化（路径样式）中，我将提出三个请求：

1. / hello - 最终用户可以使用
2. / getdata - 将是服务器端的ajax处理程序，将由/ from / hello启动
3. / getresults - 将无法通过直接访问或Ajax访问，但它将可用，并且此脚本的响应可从“本地服务器访问”获得，例如使用/ getdata中定义的cURL访问它，并从/ getdata发送一些特定的标头 - 以确保访问的安全。

这只是我的一个理论，我知道这是可能的，但我只是想知道你们对这个“ajax-security-approach”有什么看法，你认为这是一个更安全的方式吗？隐藏“你的其他子请求，或其他什么？

我还没有这样做，但我的计划清单上有这个。

Answer 1

来自评论：

  

你有没有想过你的Ajax请求通过直接访问使它们无法访问，这意味着只有XmlHttpRequest请求可以访问它们？

nope：它不起作用。没有办法使资源仅可用于Ajax请求，因为任何Ajax请求都是虚假的。所有请求（包括Ajax）仍然来自客户端的IP，您永远不会信任它们。

如果/getresults包含敏感数据，则需要适当的保护，例如通过登录功能。