[請益] 讓網頁只能讓透過ajax取資料 不能直接連

作者s861175 (s861175)

看板PHP

標題[請益] 讓網頁只能讓透過ajax取資料不能直接連

時間Tue Apr 17 11:27:08 2012

讓網頁只能讓透過ajax取資料不能直接連想做一個網站，user只需要訪問index.php這一頁，不需換頁就可查到所有資料，而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等)，請問，像1.php、2.php這些只負責餵資料給index.php的網頁，可否不讓user直接連，我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源，但是這可以被偽造，請問還有其他更安全的避免他人直接連結網頁的作法嗎？謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.67.145.120

推 kuAIpAI:如果是我我只會限制進入資料格式~而不會想去封鎖讓他直連 04/17 12:07

→ kuAIpAI:不然你就在AJAX 傳值裡面傳入ㄧ個認證數據去做認證 04/17 12:07

→ kuAIpAI:ㄧ但發現數據不符合你格式就直接中斷掉不給他連~ 04/17 12:08

→ kuAIpAI:格式例如MD5('我很帥') 另外一邊要是接收不到這句就不run 04/17 12:09

→ kuAIpAI:以上也是我單純的想法如果有大大有更好做法歡迎提出~ 04/17 12:09

→ MOONRAKER:md5('我很帥')執行一次就會被拿來玩replay attack 04/17 12:26

→ MOONRAKER:有加跟沒加一樣… 04/17 12:26

→ chrisQQ:如果真要做，那就做類似 otp 的模式吧 04/17 12:47

→ chrisQQ:讓網址變成一次性，不過如 ajax 板的推文。 04/17 12:48

推 kuAIpAI:就在多的防禦也會有在多的攻擊~ 就看自己平衡點該設在哪~ 04/17 13:09

→ MOONRAKER:平衡點勒防replay attack是基本好嗎 04/17 15:01

推 kuAIpAI:所以..在基本完後你能教ㄧ下原PO 要怎樣防禦嗎? 04/17 16:20

→ kuAIpAI:怎麼很煩的是回答了又要被說papa 我就說概念而已~ 04/17 16:21

→ kuAIpAI:只是大概給他方向搞得好像回答得不是正確答案 04/17 16:21

→ kuAIpAI:本來就是要慢慢的學習你跟他講ㄧ堆他也不ㄧ定知道那是 04/17 16:22

→ kuAIpAI:什麼他該怎樣防禦吧~ 奔走~ 04/17 16:22

→ Canboo:MOONRAKER大大回這三行對這篇的貢獻度是0 04/17 17:36

推 kusoayan:http://goo.gl/j2PuO 可以看一下 replay attack 04/17 20:22