-3
我有一個HTML代碼請求到PHP服務器。我只想參加我的HTML代碼的請求,而不是其他人。我認爲使用JavaScript來做一些事情就像一個令牌一樣,只是回答正確的令牌,但我遇到了一個問題:我使用MediaWiki,JavaScript代碼是「開放源碼」(是的,POST請求是從MediaWiki中完成的)。私人HTTP/POST
有誰知道如何做一個私人POST請求?
A
回答
0
生成隨機令牌像
$_SESSION['token']=sha1(uniqid(mt_rand(), true));
把令牌值在一個隱藏的輸入
<input type='hidden' name='token' value=$_SESSION['token'] />
然後,在你的PHP檢查,如果該令牌被送到
if($_REQUEST['token']!=$_SESSION['token']){
syslog(LOG_ERR, "Request from other site ...");
die("Request failed. (Disabled cookies?) Contact administrator: ...");
}
看這個鏈接:http://en.wikipedia.org/wiki/Cross-site_request_forgery
0
相關問題
- 1. 私人
- 2. 「私人」不是不是真的私人?
- 3. MantisBT - 私人類
- 4. 使@property私人
- 5. 私人方法
- 6. 公共/私人
- 7. 私人協會
- 8. 私人屬性
- 9. 與私人型
- 10. UIGetScreenImage - 私人API
- 11. 私人IBOutlets
- 12. 私人結構
- 13. HttpPost的Java(機器人)到ObjC(IOS)
- 14. 私人_Accessors不MSBUILD
- 15. 在python私人attribute_class
- 16. 私人(隱藏)QSharedData
- 17. 私人二傳手
- 18. 私人-setter屬性
- 19. 私人訪問? Java
- 20. 私人調用API
- 21. Java私人消息
- 22. 私人類字段
- 23. SVN私人文件
- 24. wcf iis私人msmq
- 25. iOS私人API api
- 26. 靜態或私人
- 27. PlayFramework私人回購
- 28. 非私人瀏覽
- 29. 私人嵌套類
- 30. Bing Maps私人TileSource
除了您已經想到的令牌之外,您只能通過檢查'$ _SERVER ['HTTP_REFERRER']'來做到這一點,但這也是不可靠的。只要你的腳本沒有任何授權或IP限制,你就不能輕易阻止對它的請求。 –
有什麼方法可以獲得有關請求的人的可靠*信息? – Doon