PHP में अजाक्स का पता लगाना और यह सुनिश्चित करना कि मेरी वेबसाइट

Question

से अनुरोध है, मैं $_SERVER['HTTP_X_REQUESTED_WITH'] में किसी मान की जांच करके AJAX अनुरोधों का पता लगाने के लिए अपने PHP बैक-एंड का उपयोग करता हूं।

यह मुझे एक विश्वसनीय पहचान देता है, यह सुनिश्चित करने के लिए कि अनुरोध AJAX तकनीकों का उपयोग कर रहा है।

मैं कैसे सुनिश्चित कर सकता हूं कि अनुरोध मेरे डोमेन से आया, न कि बाहरी डोमेन/रोबोट?

www.example.com/ajax?true किसी को भी AJAX कॉल करने और जानकारी को काटने की अनुमति दे सकता है।

मैं उन सभी के लिए सत्र बना सकता हूं जो सामान्य रूप से मेरी वेबसाइट में प्रवेश करते हैं, और फिर AJAX कॉल की अनुमति देते हैं .. लेकिन इसे भी फिक्र किया जा सकता है।

क्या इससे इन दिनों भी कोई फर्क पड़ता है?

Answer 1

आप नियंत्रक करते है

• बाद में तुलना

के लिए सत्र में पहुँच टोकन

दुकान उत्पन्न अपने दृश्य में

+०१२३५१६४१०

• जे एस चर के रूप में पहुँच टोकन घोषित
• प्रत्येक अनुरोध के साथ टोकन भेजने

अपने नियंत्रक

• सत्यापित करें HTTP_X_REQUESTED_WITH
• सत्यापित करें टोकन

चेक में ये सुरक्षा guidelines from OpenAjax।
इसके अलावा, codinghorror.com एनी लिंक पर आलेख पढ़ें।

Answer 2

$_SERVER['HTTP_REFERER'] देखें। यह कई मामलों में काम करेगा, लेकिन पूरी तरह से सुरक्षित समाधान के लिए भ्रमित नहीं होना चाहिए।

Answer 3

आप HTTP_REFERRER की जांच कर सकते हैं, लेकिन सभी ब्राउज़रों ने इसे सेट नहीं किया है। सबसे अच्छा तरीका जावास्क्रिप्ट पक्ष पर आपके AJAX कॉल के लिए एक रैपर लिखना है जो दस्तावेज़.cookie का हिस्सा सर्वर पर वापस भेजता है - केवल आपके डोमेन के पास कुकी तक पहुंच है। आप php में AJAX कॉल में कुकी के साथ अनुरोध हेडर में कुकी की तुलना कर सकते हैं।

जवाब में, "क्या इससे कोई फर्क पड़ता है, इन दिनों" - हाँ, यह करता है! Read this।

Answer 4

दाऊद वॉल्श एक अच्छा solution

/* decide what the content should be up here .... */ 
$content = get_content(); //generic function; 

/* AJAX check */ 
if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { 
    /* special ajax here */ 
    die($content); 
} 

/* not ajax, do more.... */ 

Answer 5

वास्तव में, ऐसा करने का सबसे सुरक्षित तरीका है, जैसा कि आपने सुझाव दिया है, सर्वर-साइड सत्र का उपयोग करें, क्योंकि इन्हें कुकीज़ के रूप में तैयार नहीं किया जा सकता है।

अनुमोदित, कोई भी अभी भी एक सत्र आईडी को हाइजैक कर सकता है, लेकिन यदि आप अपने सत्र में उपयोगकर्ता का आईपी पता भी स्टोर करते हैं और प्रत्येक अनुरोध पर इसे चेक करते हैं, तो आप बहुत सारे हाइजैक निकाल सकते हैं। केवल उसी लैन या प्रॉक्सी पर कोई भी इसे हाइजैक कर सकता है।

कोई अन्य विधि उल्लिखित - कुकीज़, जावास्क्रिप्ट, http रेफरर - क्लाइंट-साइड डेटा पर निर्भर करता है, जो असुरक्षित है और हमेशा नकली, जाली, अपहरण और दुर्भावनापूर्ण रूप से निर्मित होने का संदेह होना चाहिए।

Answer 6

अपने अंतिम प्रश्न के बारे में: "क्या इन दिनों में भी इससे कोई फर्क पड़ता है?" यह मामला प्रश्न के मामले में एक मामला है। अगर AJAX अनुरोध ऐसा कुछ कर रहा है जिसके लिए सुरक्षा की आवश्यकता नहीं है (उदाहरण के लिए नवीनतम स्टॉक उद्धरण लोड करना) तो यह वास्तव में IMHO से कोई फर्क नहीं पड़ता। अगर अनुरोध सुरक्षित जानकारी प्राप्त कर रहा है जिसे सुरक्षित किया जाना चाहिए (उदा। जानकारी की जानकारी लौटाना या सर्वर पर कुछ करना) तो आपको इसका इलाज करना चाहिए।

मैं व्यक्तिगत रूप से सर्वर चर का उपयोग नहीं करता यह जानने के लिए कि कोई AJAX अनुरोध कब होता है। इसके बजाय मैं AJAX कॉल में एक क्वेरी पैरामीटर जोड़ता हूं (उदा। http://domain.com/?ajax=true)। अगर मुझे AJAX कॉल को सुरक्षित करने की आवश्यकता है तो मैं नियमित पृष्ठ अनुरोध (क्लाइंट और सर्वर दोनों का उपयोग करके) को सुरक्षित करने के समान तरीकों का उपयोग करूंगा। चूंकि लुकास ओमान ने बताया, क्लाइंट साइड पर कुछ भी फिक्र किया जा सकता है। नीचे की रेखा किसी भी अनुरोध पर भरोसा नहीं करती है भले ही आपको लगता है कि यह आपकी साइट या डेटाबेस से आ रहा है। हमेशा मंत्र का पालन करें "फिल्टर इनपुट - भागने का आउटपुट"।

Answer 7

उपयोग पोस्ट सत्र सुरक्षित अनुरोध:

वेबपेज के अंदर का (जैसे index.php) हम sessionid

<?php 
// Create Session 
$session = session_id(); 
if(empty($session)) session_start(); 
?> 
<head> 
... 
<script type="text/javascript"> 
    sid = '<?php echo session_id(); ?>'; 
</script> 
<script type="text/javascript" src="ajaxrequest.js"></script> 
... 
</head> 

ajax अनुरोध (ajaxrequest.js) स्टोर करने के लिए

की जरूरत

/* simple getAjax function 
* @param $url  request url 
* @param $param  parameter (dont use ?) 
* @param callback function on success 
*/ 
var spinnerid = '#spinner'; // Spinner as long ajax requests running 
$(document).ajaxStart(function() { $(spinnerid).show(); }); 
$(document).ajaxStop(function() { $(spinnerid).hide(); }); 
function getAjax(url, param, callback) { 
    var data = null; 
    url += "?sid=" + sid + "&" + param; 
    $.ajax({ 
     url: url, 
     method: "POST", // uncomment to use GET, POST is secured by session 
     cache: false, 
     async: true, 
     success : function(data){ 
     callback(data); 
    }, 
} 

getAjax('http://domain.com/', 'data=foo', function(data) { 
// do stuf with data 
var jsonobj = eval("(" + data + ")"); 
var data = jsonobj[0][ 'data' ]; 
}); 

जिम्मेदार PHP पक्ष:

if(isset($_GET['sid'])) $client_sid = $_GET['sid']; 

if(session_id() == null) session_start(); 

if(session_id() != $client_sid) { 
    // noID or wrongID, redirect to mainindex 
    ignore_user_abort(true); 
    header("HTTP/1.1 403 Forbidden"); 
    header("Connection: close", true); 
    exit; 
} else { 

    // get data 
    if(isset($_GET['data'])) { 
     $data = $_GET['data']; 
    } else if(isset($_POST['data'])) { 
     $data = $_POST['data']; 
    } else { 
     $data = null; 
    } 

    // do stuff with data 

    // return data as json 
    $resp[0]['data'] = $data; 
    print_r(json_encode($resp)); 
}