作者s861175 (s861175)
看板PHP
标题[请益] 让网页只能让透过ajax取资料 不能直接连
时间Tue Apr 17 11:27:08 2012
让网页只能让透过ajax取资料 不能直接连
想做一个网站,user只需要访问index.php这一页,不需换页就可查到所有资料,
而index.php上所有的动态资料都由ajax去跟其他php网页要(例如 1.php、2.php...等),
请问,像1.php、2.php这些只负责喂资料给index.php的网页,可否不让user直接连,
我知道可以利用$_SERVER['HTTP_REFERER']来绑定上一页的来源,但是这可以被伪造,
请问还有其他更安全的避免他人直接连结网页的作法吗?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.67.145.120
1F:推 kuAIpAI:如果是我 我只会限制进入资料格式~而不会想去封锁让他直连 04/17 12:07
2F:→ kuAIpAI:不然你就在AJAX 传值里面传入ㄧ个认证数据 去做认证 04/17 12:07
3F:→ kuAIpAI:ㄧ但发现 数据不符合你格式 就直接中断掉 不给他连~ 04/17 12:08
4F:→ kuAIpAI:格式例如MD5('我很帅') 另外一边要是接收不到这句 就不run 04/17 12:09
5F:→ kuAIpAI:以上也是我单纯的想法 如果有大大有更好做法欢迎提出~ 04/17 12:09
6F:→ MOONRAKER:md5('我很帅')执行一次就会被拿来玩replay attack 04/17 12:26
7F:→ MOONRAKER:有加跟没加一样… 04/17 12:26
8F:→ chrisQQ:如果真要做,那就做类似 otp 的模式吧 04/17 12:47
9F:→ chrisQQ:让网址变成一次性,不过如 ajax 板的推文。 04/17 12:48
10F:推 kuAIpAI:就在多的防御 也会有在多的攻击~ 就看自己平衡点该设在哪~ 04/17 13:09
11F:→ MOONRAKER:平衡点勒 防replay attack是基本好吗 04/17 15:01
12F:推 kuAIpAI:所以..在基本完後 你能教ㄧ下原PO 要怎样防御吗? 04/17 16:20
13F:→ kuAIpAI:怎麽很烦的是 回答了又要被说papa 我就说概念而已~ 04/17 16:21
14F:→ kuAIpAI:只是大概给他方向 搞得好像回答得不是正确答案 04/17 16:21
15F:→ kuAIpAI:本来就是要慢慢的学习 你跟他讲ㄧ堆 他也不ㄧ定知道那是 04/17 16:22
16F:→ kuAIpAI:什麽 他该怎样防御吧~ 奔走~ 04/17 16:22
17F:→ Canboo:MOONRAKER大大回这三行对这篇的贡献度是0 04/17 17:36