Re: [請益] 讓網頁只能讓透過ajax取資料 不能直接連
因為字數稍多,我用回文的
先這樣假設,你要傳的資料有ID,Name兩個資料
像下面這樣
ID=3&Name=dio
你先定一個privateKey的字串,例如"lala",用來md5加密時的混淆
下列Server端我會使用PHP的語法概述
Server用md5透過參數加上privateKey產生Code如下:
$privateKey="lala";
$code=md5("ID=3&Name=dio" . $privateKey);
// 此時$code=3db79513ff3d039d9a48b1df689015be
Client端的發送方式會變為:
ID=3&Name=dio&code=3db79513ff3d039d9a48b1df689015be
當Sever端接收到這個請求時,將傳過來的ID跟Name透過一樣的方式產生code
當code不相等時,代表Client的請求不合法,就拒絕服務
當然你也可以再稍微嚴謹一點,code多加入個時間time來混淆
Client的傳送方式會變成如下:
ID=3&Name=dio&time=1334640221&code=.....
Server端的產生$code的方式就變成:
$code=md5("ID=3&Name=dio&time=1334640221" . $privateKey);
而此時Server端除了可以比對code是否符合之外
還可以多檢查time的有效時間,例如你限定time如果超過3600秒,就拒絕服務
這樣可保證連接的時效性
上述的產生code以及檢查code的行為可稍微用點心在Server端寫成函式
方便不同地方重複呼叫
這樣做的好處就是對方知道你主要的參數,也無法用窮舉法硬抓
只要參數有所變化,code必須要相應改變
※ 引述《s861175 (s861175)》之銘言:
: 標題: [請益] 讓網頁只能讓透過ajax取資料 不能直接連
: 時間: Tue Apr 17 11:27:08 2012
:
: 讓網頁只能讓透過ajax取資料 不能直接連
:
: 想做一個網站,user只需要訪問index.php這一頁,不需換頁就可查到所有資料,
:
: 而index.php上所有的動態資料都由ajax去跟其他php網頁要(例如 1.php、2.php...等),
:
: 請問,像1.php、2.php這些只負責餵資料給index.php的網頁,可否不讓user直接連,
:
: 我知道可以利用$_SERVER['HTTP_REFERER']來綁定上一頁的來源,但是這可以被偽造,
:
: 請問還有其他更安全的避免他人直接連結網頁的作法嗎?
:
: 謝謝
:
: --
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.66.243.96
推
04/17 14:50, , 1F
04/17 14:50, 1F
→
04/17 14:50, , 2F
04/17 14:50, 2F
→
04/17 14:51, , 3F
04/17 14:51, 3F
→
04/17 14:51, , 4F
04/17 14:51, 4F
→
04/17 14:52, , 5F
04/17 14:52, 5F
md5不會放在js這邊產生,因為這樣privateKey就失去意義了
以ID=3,Name=Dio為例,程式碼應該如下:
################
<?php
$data["ID"]=$ID;
$data["Name"]=$Name;
$code=getSign($data,$privateKey);
?>
aaa.php?ID=<?php echo $data["ID"]?>&Name=<?php echo $data["Name"]?>&code=<?echo $code?>
################
我是覺得大部分的狀況下ID,Name的值是由Server帶進Client端的
所以Code也由Server端帶出來的很合理。
而getSign($ary,$key)是產生code的function
推
04/17 15:44, , 6F
04/17 15:44, 6F
→
04/17 15:45, , 7F
04/17 15:45, 7F
你說的對,很多東西是防不勝防,端看我們開發者能盡多少心力
不可能直接敞開大門任人存取
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:04)
推
04/17 15:56, , 8F
04/17 15:56, 8F
推
04/17 16:12, , 9F
04/17 16:12, 9F
→
04/17 16:13, , 10F
04/17 16:13, 10F
→
04/17 16:17, , 11F
04/17 16:17, 11F
我推測其他網友說的md5('我很帥')會replay attack的意思是,因為md5中使用固定的值。
會導致驗證的參數永遠固定,這樣一下就被看穿
假設md5("我很帥")的值是"帥到爆"
以本篇文章的例子來說的話,Client的結果如下
ID=3&Name=Dio&code=帥到爆
ID=4&Name=Neo&code=帥到爆
Code不因其他參數的變化有所變化
這樣就失去傳Code的意義了
反正對方只要多傳個"帥到爆",其他參數任填,都可以用力的try Server的Response
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:35)
→
04/17 16:36, , 12F
04/17 16:36, 12F
→
04/17 16:36, , 13F
04/17 16:36, 13F
→
04/17 16:38, , 14F
04/17 16:38, 14F
→
04/17 18:48, , 15F
04/17 18:48, 15F
→
04/17 18:48, , 16F
04/17 18:48, 16F
→
04/17 18:50, , 17F
04/17 18:50, 17F
→
04/17 18:50, , 18F
04/17 18:50, 18F
→
04/17 18:50, , 19F
04/17 18:50, 19F
→
04/17 18:51, , 20F
04/17 18:51, 20F
→
04/17 18:52, , 21F
04/17 18:52, 21F
→
04/17 18:53, , 22F
04/17 18:53, 22F
→
04/17 18:53, , 23F
04/17 18:53, 23F
你說的對,這個目的只能避免窮舉法
當前的參數配對的code是一樣的,但可避免的被人改換參數值,用spider抓光
另外前文有提到,可以加個time參數納入md5混淆,Server端接到參數後
可以比對時間差,這樣可以確保時效性,例如設定時間差600
這樣的話同一組參數,只有10分鐘有效,十分鐘過後,參數就失效了
※ 編輯: dio833 來自: 59.120.148.186 (04/17 19:29)
→
04/17 23:42, , 24F
04/17 23:42, 24F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 3 篇):
PHP 近期熱門文章
PTT數位生活區 即時熱門文章
