Re: [請益] 讓網頁只能讓透過ajax取資料 不能直接連

作者dio833 (Dio)

看板PHP

標題Re: [請益] 讓網頁只能讓透過ajax取資料不能直接連

時間Tue Apr 17 13:34:20 2012

因為字數稍多，我用回文的先這樣假設，你要傳的資料有ID,Name兩個資料像下面這樣 ID=3&Name=dio 你先定一個privateKey的字串，例如"lala"，用來md5加密時的混淆下列Server端我會使用PHP的語法概述 Server用md5透過參數加上privateKey產生Code如下: $privateKey="lala"; $code=md5("ID=3&Name=dio" . $privateKey); // 此時$code=3db79513ff3d039d9a48b1df689015be Client端的發送方式會變為: ID=3&Name=dio&code=3db79513ff3d039d9a48b1df689015be 當Sever端接收到這個請求時，將傳過來的ID跟Name透過一樣的方式產生code 當code不相等時，代表Client的請求不合法，就拒絕服務當然你也可以再稍微嚴謹一點，code多加入個時間time來混淆 Client的傳送方式會變成如下: ID=3&Name=dio&time=1334640221&code=..... Server端的產生$code的方式就變成: $code=md5("ID=3&Name=dio&time=1334640221" . $privateKey); 而此時Server端除了可以比對code是否符合之外還可以多檢查time的有效時間，例如你限定time如果超過3600秒，就拒絕服務這樣可保證連接的時效性上述的產生code以及檢查code的行為可稍微用點心在Server端寫成函式方便不同地方重複呼叫這樣做的好處就是對方知道你主要的參數，也無法用窮舉法硬抓只要參數有所變化，code必須要相應改變 ※ 引述《s861175 (s861175)》之銘言： : 標題: [請益] 讓網頁只能讓透過ajax取資料不能直接連 : 時間: Tue Apr 17 11:27:08 2012 : : 讓網頁只能讓透過ajax取資料不能直接連 : : 想做一個網站，user只需要訪問index.php這一頁，不需換頁就可查到所有資料， : : 而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等)， : : 請問，像1.php、2.php這些只負責餵資料給index.php的網頁，可否不讓user直接連， : : 我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源，但是這可以被偽造， : : 請問還有其他更安全的避免他人直接連結網頁的作法嗎？ : : 謝謝 : : -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.66.243.96

推 kerash:依照原發問的要求，單一個網頁(index) ajax 抓資料的話 04/17 14:50

→ kerash:如果你這個方法用到 md5，在設定 code 得動態跑 md5 04/17 14:50

→ kerash:那用 js 跑 md5 時就會知道丟什麼參數進去了說.. 04/17 14:51

→ kerash:除非是跑兩層，第一層先拋第一次參數後多跑一個加密頁 04/17 14:51

→ kerash:等把code加上去後再curl到第二頁回傳(當然這樣會很麻煩...) 04/17 14:52

md5不會放在js這邊產生，因為這樣privateKey就失去意義了以ID=3,Name=Dio為例，程式碼應該如下: ################ <?php $data["ID"]=$ID; $data["Name"]=$Name; $code=getSign($data,$privateKey); ?> aaa.php?ID=<?php echo $data["ID"]?>&Name=<?php echo $data["Name"]?>&code=<?echo $code?> ################ 我是覺得大部分的狀況下ID，Name的值是由Server帶進Client端的所以Code也由Server端帶出來的很合理。而getSign($ary,$key)是產生code的function

推 LPH66:其實重點只在說有心人還是能夠模仿 browser 所送出的 req 04/17 15:44

→ LPH66:所以很多東西其實都是防君子不防小人... 04/17 15:45

你說的對，很多東西是防不勝防，端看我們開發者能盡多少心力不可能直接敞開大門任人存取 ※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:04)

推 kerash:當然如果複雜度高的話還是勉強可以防 ...... 一下QQ 04/17 15:56

推 kerash:這部分要考慮看原發問是否考慮到連接的網頁要不要加參數 04/17 16:12

→ kerash:以及在使用時會經過一段瀏覽器處理的換頁 04/17 16:13

→ kuAIpAI:我相信沒有人會發現 md5('我很帥')加密法 ya~ 選我選我~ 04/17 16:17

我推測其他網友說的md5('我很帥')會replay attack的意思是，因為md5中使用固定的值。會導致驗證的參數永遠固定，這樣一下就被看穿假設md5("我很帥")的值是"帥到爆" 以本篇文章的例子來說的話，Client的結果如下 ID=3&Name=Dio&code=帥到爆 ID=4&Name=Neo&code=帥到爆 Code不因其他參數的變化有所變化這樣就失去傳Code的意義了反正對方只要多傳個"帥到爆"，其他參數任填，都可以用力的try Server的Response ※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:35)

→ kuAIpAI:我當然不會這樣寫我只是要跟他說可以傳參數去防而已..... 04/17 16:36

→ kuAIpAI:你也認真了...跟鄉民認真就....恩阿(奔) 04/17 16:36

→ dio833:privateKey用"我很帥"我倒是蠻贊同的 04/17 16:38

→ MOONRAKER:我何必知道md5('我很帥')的plaintext... 04/17 18:48

→ MOONRAKER:我只要用一隻眼睛看一眼get的參數，或者累一點多用一隻 04/17 18:48

→ MOONRAKER:眼睛看http傳送的header，就會看到有一個參數永遠都是 04/17 18:50

→ MOONRAKER:5beda80a8feb2b877702463d961eac1f不會變，我就把他存起 04/17 18:50

→ MOONRAKER:來replay就好了，誰管你plaintext是什麼鬼… 04/17 18:50

→ MOONRAKER:Ku老兄你也真是夠了，胡扯被戳破就說你不是要這樣說 04/17 18:51

→ MOONRAKER:還繼續扯「認真就輸」，你最好祈禱不要有人被你誤導 04/17 18:52

→ MOONRAKER:寫個爛code，一輩子都記得你 04/17 18:53

→ chrisQQ:不就是 name id code pair 記下來就可以連了嘛… 04/17 18:53

你說的對，這個目的只能避免窮舉法當前的參數配對的code是一樣的，但可避免的被人改換參數值，用spider抓光另外前文有提到，可以加個time參數納入md5混淆，Server端接到參數後可以比對時間差，這樣可以確保時效性，例如設定時間差600 這樣的話同一組參數，只有10分鐘有效，十分鐘過後，參數就失效了 ※ 編輯: dio833 來自: 59.120.148.186 (04/17 19:29)

→ kuAIpAI:我只能說我只是給方向剩下的我也不想多說了~~ (菸) 04/17 23:42