基本上我覺得只要能擋掉一般使用者直接去連網頁的部份就行了 要完全擋掉我覺得有點困難 我認為 雖然有些人可能會刻意的產生特定的request去連這些網頁 不過假如沒有安全性上的問題 那倒是無仿 方法的話我也是想用隨機的token來防止 如果可用session的話 可以在server端產生一個隨機的token 並塞到session裡 接著傳到client網頁中 ajax就利用這個token傳送request server收到request之後 確認request和session中的token是否吻合 吻合的話就傳回應該要傳的資料以及再產生一組隨機的token 塞session後再傳回去 接著client網頁這端收到request並更新內容和token 以此類推 不過這種方法通常都是拿來防止CSRF比較多就是了 然後 我覺得這樣應該就差不多了 當然 使用者是可以收到token之後 查一下然後自己做個request傳過去 不過就像我前面講的 如果沒有安全性上的問題 他這樣做也沒差 而且每次都要查token其實也滿累的 也沒啥好處XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.127.141.84