作者s861175 (s861175)
看板PHP
標題[請益] 讓網頁只能讓透過ajax取資料 不能直接連
時間Tue Apr 17 11:27:08 2012
讓網頁只能讓透過ajax取資料 不能直接連
想做一個網站,user只需要訪問index.php這一頁,不需換頁就可查到所有資料,
而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等),
請問,像1.php、2.php這些只負責餵資料給index.php的網頁,可否不讓user直接連,
我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源,但是這可以被偽造,
請問還有其他更安全的避免他人直接連結網頁的作法嗎?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.67.145.120
1F:推 kuAIpAI:如果是我 我只會限制進入資料格式~而不會想去封鎖讓他直連 04/17 12:07
2F:→ kuAIpAI:不然你就在AJAX 傳值裡面傳入ㄧ個認證數據 去做認證 04/17 12:07
3F:→ kuAIpAI:ㄧ但發現 數據不符合你格式 就直接中斷掉 不給他連~ 04/17 12:08
4F:→ kuAIpAI:格式例如MD5('我很帥') 另外一邊要是接收不到這句 就不run 04/17 12:09
5F:→ kuAIpAI:以上也是我單純的想法 如果有大大有更好做法歡迎提出~ 04/17 12:09
6F:→ MOONRAKER:md5('我很帥')執行一次就會被拿來玩replay attack 04/17 12:26
7F:→ MOONRAKER:有加跟沒加一樣… 04/17 12:26
8F:→ chrisQQ:如果真要做,那就做類似 otp 的模式吧 04/17 12:47
9F:→ chrisQQ:讓網址變成一次性,不過如 ajax 板的推文。 04/17 12:48
10F:推 kuAIpAI:就在多的防禦 也會有在多的攻擊~ 就看自己平衡點該設在哪~ 04/17 13:09
11F:→ MOONRAKER:平衡點勒 防replay attack是基本好嗎 04/17 15:01
12F:推 kuAIpAI:所以..在基本完後 你能教ㄧ下原PO 要怎樣防禦嗎? 04/17 16:20
13F:→ kuAIpAI:怎麼很煩的是 回答了又要被說papa 我就說概念而已~ 04/17 16:21
14F:→ kuAIpAI:只是大概給他方向 搞得好像回答得不是正確答案 04/17 16:21
15F:→ kuAIpAI:本來就是要慢慢的學習 你跟他講ㄧ堆 他也不ㄧ定知道那是 04/17 16:22
16F:→ kuAIpAI:什麼 他該怎樣防禦吧~ 奔走~ 04/17 16:22
17F:→ Canboo:MOONRAKER大大回這三行對這篇的貢獻度是0 04/17 17:36