在现代URL模式(路径样式)中,我将提出三个请求:
- /hello-将提供给最终用户
- /getdata-将是服务器端的ajax处理程序,witch将由/from/hello启动
- /getresults-无论是直接访问还是Ajax访问都不可用,但它将可用,并且来自该脚本的响应将可从"本地服务器访问"获得,例如,使用/getdata中定义的cURL访问它,并从/getdata发送一些特定的标头-以确保访问的安全性
这只是我的一个理论,我知道这是可能的,但我只是想知道你们对这种"ajax安全方法"有什么看法,你们认为这是一种更安全的"隐藏"其他子请求的方式吗?
我还没有这样做,但我的计划清单上有这个。
来自注释:
您有没有想过您的Ajax请求通过直接访问使它们不可访问,这意味着只有XmlHttpRequest请求才能访问它们?
不:那样不行。没有办法使资源只对Ajax请求可用,因为任何Ajax请求都是伪造的。所有请求(包括Ajax请求)仍然来自客户端的IP,您永远无法信任它们。
如果/getresults包含敏感数据,则需要适当的保护,例如通过登录功能。