我使用PHP后端通过检查中的值来检测AJAX请求$_SERVER['HTTP_X_REQUESTED_WITH']。
$_SERVER['HTTP_X_REQUESTED_WITH']
这给了我一个可靠的检测,确保使用AJAX技术发出请求。
如何确保请求来自我自己的域,而不是外部域/机器人?
www.example.com/ajax?true可能允许任何人进行AJAX呼叫并削减信息。
我可以为通常进入我的网站的每个人进行会话,然后允许AJAX调用..但是也可以伪造。
这些天都重要吗?
让你控制
在您看来
回到你的控制器
查看来自OpenAjax的这些安全准则。 另外,请阅读位于encodinghorror.com Annie链接上的文章。
