PTT數位生活區 / PHP

[請益] 讓網頁只能讓透過ajax取資料 不能直接連

看板PHP作者 (s861175)時間13年前 (2012/04/17 11:27), 編輯推噓4(4014)
留言18則, 5人參與, 最新討論串1/3 (看更多)
讓網頁只能讓透過ajax取資料 不能直接連 想做一個網站,user只需要訪問index.php這一頁,不需換頁就可查到所有資料, 而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等), 請問,像1.php、2.php這些只負責餵資料給index.php的網頁,可否不讓user直接連, 我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源,但是這可以被偽造, 請問還有其他更安全的避免他人直接連結網頁的作法嗎? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.67.145.120
04/17 12:07, , 1F
如果是我 我只會限制進入資料格式~而不會想去封鎖讓他直連
04/17 12:07, 1F
04/17 12:07, , 2F
不然你就在AJAX 傳值裡面傳入ㄧ個認證數據 去做認證
04/17 12:07, 2F
04/17 12:08, , 3F
ㄧ但發現 數據不符合你格式 就直接中斷掉 不給他連~
04/17 12:08, 3F
04/17 12:09, , 4F
格式例如MD5('我很帥') 另外一邊要是接收不到這句 就不run
04/17 12:09, 4F
04/17 12:09, , 5F
以上也是我單純的想法 如果有大大有更好做法歡迎提出~
04/17 12:09, 5F
04/17 12:26, , 6F
md5('我很帥')執行一次就會被拿來玩replay attack
04/17 12:26, 6F
04/17 12:26, , 7F
有加跟沒加一樣…
04/17 12:26, 7F
04/17 12:47, , 8F
如果真要做,那就做類似 otp 的模式吧
04/17 12:47, 8F
04/17 12:48, , 9F
讓網址變成一次性,不過如 ajax 板的推文。
04/17 12:48, 9F
04/17 13:09, , 10F
就在多的防禦 也會有在多的攻擊~ 就看自己平衡點該設在哪~
04/17 13:09, 10F
04/17 15:01, , 11F
平衡點勒 防replay attack是基本好嗎
04/17 15:01, 11F
04/17 16:20, , 12F
所以..在基本完後 你能教ㄧ下原PO 要怎樣防禦嗎?
04/17 16:20, 12F
04/17 16:21, , 13F
怎麼很煩的是 回答了又要被說papa 我就說概念而已~
04/17 16:21, 13F
04/17 16:21, , 14F
只是大概給他方向 搞得好像回答得不是正確答案
04/17 16:21, 14F
04/17 16:22, , 15F
本來就是要慢慢的學習 你跟他講ㄧ堆 他也不ㄧ定知道那是
04/17 16:22, 15F
04/17 16:22, , 16F
什麼 他該怎樣防禦吧~ 奔走~
04/17 16:22, 16F
04/17 17:36, , 17F
MOONRAKER大大回這三行對這篇的貢獻度是0
04/17 17:36, 17F
04/17 20:22, , 18F
http://goo.gl/j2PuO 可以看一下 replay attack
04/17 20:22, 18F
更多 s861175 的文章
文章代碼(AID): #1FZECFNG (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 s861175 的文章
文章代碼(AID): #1FZECFNG (PHP)