作者dio833 (Dio)
看板PHP
標題Re: [請益] 讓網頁只能讓透過ajax取資料 不能直接連
時間Tue Apr 17 13:34:20 2012
因為字數稍多,我用回文的
先這樣假設,你要傳的資料有ID,Name兩個資料
像下面這樣
ID=3&Name=dio
你先定一個privateKey的字串,例如"lala",用來md5加密時的混淆
下列Server端我會使用PHP的語法概述
Server用md5透過參數加上privateKey產生Code如下:
$privateKey="lala";
$code=md5("ID=3&Name=dio" . $privateKey);
// 此時$code=3db79513ff3d039d9a48b1df689015be
Client端的發送方式會變為:
ID=3&Name=dio&code=3db79513ff3d039d9a48b1df689015be
當Sever端接收到這個請求時,將傳過來的ID跟Name透過一樣的方式產生code
當code不相等時,代表Client的請求不合法,就拒絕服務
當然你也可以再稍微嚴謹一點,code多加入個時間time來混淆
Client的傳送方式會變成如下:
ID=3&Name=dio&time=1334640221&code=.....
Server端的產生$code的方式就變成:
$code=md5("ID=3&Name=dio&time=1334640221" . $privateKey);
而此時Server端除了可以比對code是否符合之外
還可以多檢查time的有效時間,例如你限定time如果超過3600秒,就拒絕服務
這樣可保證連接的時效性
上述的產生code以及檢查code的行為可稍微用點心在Server端寫成函式
方便不同地方重複呼叫
這樣做的好處就是對方知道你主要的參數,也無法用窮舉法硬抓
只要參數有所變化,code必須要相應改變
※ 引述《s861175 (s861175)》之銘言:
: 標題: [請益] 讓網頁只能讓透過ajax取資料 不能直接連
: 時間: Tue Apr 17 11:27:08 2012
:
: 讓網頁只能讓透過ajax取資料 不能直接連
:
: 想做一個網站,user只需要訪問index.php這一頁,不需換頁就可查到所有資料,
:
: 而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等),
:
: 請問,像1.php、2.php這些只負責餵資料給index.php的網頁,可否不讓user直接連,
:
: 我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源,但是這可以被偽造,
:
: 請問還有其他更安全的避免他人直接連結網頁的作法嗎?
:
: 謝謝
:
: --
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.66.243.96
1F:推 kerash:依照原發問的要求,單一個網頁(index) ajax 抓資料的話 04/17 14:50
2F:→ kerash:如果你這個方法用到 md5,在設定 code 得動態跑 md5 04/17 14:50
3F:→ kerash:那用 js 跑 md5 時就會知道丟什麼參數進去了說.. 04/17 14:51
4F:→ kerash:除非是跑兩層,第一層先拋第一次參數後多跑一個加密頁 04/17 14:51
5F:→ kerash:等把code加上去後再curl到第二頁回傳(當然這樣會很麻煩...) 04/17 14:52
md5不會放在js這邊產生,因為這樣privateKey就失去意義了
以ID=3,Name=Dio為例,程式碼應該如下:
################
<?php
$data["ID"]=$ID;
$data["Name"]=$Name;
$code=getSign($data,$privateKey);
?>
aaa.php?ID=<?php echo $data["ID"]?>&Name=<?php echo $data["Name"]?>&code=<?echo $code?>
################
我是覺得大部分的狀況下ID,Name的值是由Server帶進Client端的
所以Code也由Server端帶出來的很合理。
而getSign($ary,$key)是產生code的function
6F:推 LPH66:其實重點只在說有心人還是能夠模仿 browser 所送出的 req 04/17 15:44
7F:→ LPH66:所以很多東西其實都是防君子不防小人... 04/17 15:45
你說的對,很多東西是防不勝防,端看我們開發者能盡多少心力
不可能直接敞開大門任人存取
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:04)
8F:推 kerash:當然如果複雜度高的話還是勉強可以防 ...... 一下QQ 04/17 15:56
9F:推 kerash:這部分要考慮看原發問是否考慮到連接的網頁要不要加參數 04/17 16:12
10F:→ kerash:以及在使用時會經過一段瀏覽器處理的換頁 04/17 16:13
11F:→ kuAIpAI:我相信沒有人會發現 md5('我很帥')加密法 ya~ 選我選我~ 04/17 16:17
我推測其他網友說的md5('我很帥')會replay attack的意思是,因為md5中使用固定的值。
會導致驗證的參數永遠固定,這樣一下就被看穿
假設md5("我很帥")的值是"帥到爆"
以本篇文章的例子來說的話,Client的結果如下
ID=3&Name=Dio&code=帥到爆
ID=4&Name=Neo&code=帥到爆
Code不因其他參數的變化有所變化
這樣就失去傳Code的意義了
反正對方只要多傳個"帥到爆",其他參數任填,都可以用力的try Server的Response
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:35)
12F:→ kuAIpAI:我當然不會這樣寫 我只是要跟他說可以傳參數去防而已..... 04/17 16:36
13F:→ kuAIpAI:你也認真了...跟鄉民認真就....恩阿(奔) 04/17 16:36
14F:→ dio833:privateKey用"我很帥"我倒是蠻贊同的 04/17 16:38
15F:→ MOONRAKER:我何必知道md5('我很帥')的plaintext... 04/17 18:48
16F:→ MOONRAKER:我只要用一隻眼睛看一眼get的參數,或者累一點多用一隻 04/17 18:48
17F:→ MOONRAKER:眼睛看http傳送的header,就會看到有一個參數永遠都是 04/17 18:50
18F:→ MOONRAKER:5beda80a8feb2b877702463d961eac1f不會變,我就把他存起 04/17 18:50
19F:→ MOONRAKER:來replay就好了,誰管你plaintext是什麼鬼… 04/17 18:50
20F:→ MOONRAKER:Ku老兄你也真是夠了,胡扯被戳破就說你不是要這樣說 04/17 18:51
21F:→ MOONRAKER:還繼續扯「認真就輸」,你最好祈禱不要有人被你誤導 04/17 18:52
22F:→ MOONRAKER:寫個爛code,一輩子都記得你 04/17 18:53
23F:→ chrisQQ:不就是 name id code pair 記下來就可以連了嘛… 04/17 18:53
你說的對,這個目的只能避免窮舉法
當前的參數配對的code是一樣的,但可避免的被人改換參數值,用spider抓光
另外前文有提到,可以加個time參數納入md5混淆,Server端接到參數後
可以比對時間差,這樣可以確保時效性,例如設定時間差600
這樣的話同一組參數,只有10分鐘有效,十分鐘過後,參數就失效了
※ 編輯: dio833 來自: 59.120.148.186 (04/17 19:29)
24F:→ kuAIpAI:我只能說 我只是給方向 剩下的我也不想多說了~~ (菸) 04/17 23:42