在PHP中檢測Ajax並確保請求來自我自己的網站

Question

我使用我的PHP後端通過檢查$_SERVER['HTTP_X_REQUESTED_WITH']中的值來檢測AJAX請求。

這給了我一個可靠的檢測，確保請求是利用AJAX技術。

如何確保請求來自我自己的域，而不是外部域/機器人？

www.example.com/ajax?true可以允許任何人進行AJAX調用並剪切信息。

我可以爲每個進入我的網站的人正常開會，然後允許AJAX呼叫......但那也可能是假的。

這些事情現在有沒有關係？

Answer 1

讓你控制器

• 生成會話訪問令牌
• 商店後面的比較

在你看來

• 聲明訪問令牌作爲JS變量
• 每個請求發送令牌

回到你的控制器

• 驗證HTTP_X_REQUESTED_WITH
• 驗證令牌

檢查這些安全guidelines from OpenAjax。
另外，請閱讀有關codinghorror.com Annie的文章。

Answer 2

檢查$_SERVER['HTTP_REFERER']。這在很多情況下都能正常工作，但不應該將它們混淆成完全安全的解決方案。

Answer 3

您可以檢查HTTP_REFERRER，但不是所有瀏覽器都設置它。最好的方法是在JavaScript端發送ajax調用的包裝器，它將document.cookie的一部分發送回服務器 - 只有你的域可以訪問cookie。您可以將請求標頭中的cookie與php中的AJAX調用中的cookie進行比較。

作爲迴應，「它甚至很重要，這些天」 - 是的，它的確如此！ Read this。

Answer 4

大衛·沃爾什具有良好的solution

/* decide what the content should be up here .... */ 
$content = get_content(); //generic function; 

/* AJAX check */ 
if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { 
    /* special ajax here */ 
    die($content); 
} 

/* not ajax, do more.... */ 

Answer 5

真的，最安全的方法就是按照您的建議使用服務器端會話，因爲這些會話不能像Cookie那樣製作。當然，某人仍然可以劫持會話ID，但是如果您還將用戶的IP地址存儲在他們的會話中並在每個請求中檢查它，那麼可以清除很多劫持。只有在同一局域網或代理上的人才能劫持它。

提到的任何其他方法 - cookies，javascript，http referer - 取決於客戶端數據，這些數據是不安全的，應始終懷疑是僞造，僞造，劫持和惡意構建。

Answer 6

關於你的最後一個問題：「在這些日子裏，它甚至很重要嗎？」 這是個案的問題。如果ajax請求正在做一些不需要安全性的事情（例如，加載最新的股票報價），那麼它對於恕我直言並不重要。如果請求正在加載應該保護的信息（例如，返回標識信息或在服務器上執行某些操作），那麼您應該將其視爲等待。

我個人不使用服務器變量來知道何時是ajax請求。相反，我只是添加一個查詢參數給ajax調用（例如http://domain.com/?ajax=true）。如果我需要保護ajax調用，那麼我會使用與保護常規頁面請求（使用客戶端和服務器）相同的方法。正如Lucas Oman指出的那樣，客戶端的任何東西都可能是僞造的。底線不相信任何請求，即使您認爲它來自您的網站或數據庫。始終遵循口頭禪「過濾器輸入 - 退出輸出」。

Answer 7

使用POST會話安全要求：

網頁內（如的index.php），我們需要存儲的SessionID

<?php 
// Create Session 
$session = session_id(); 
if(empty($session)) session_start(); 
?> 
<head> 
... 
<script type="text/javascript"> 
    sid = '<?php echo session_id(); ?>'; 
</script> 
<script type="text/javascript" src="ajaxrequest.js"></script> 
... 
</head> 

Ajax請求（ajaxrequest.js）

/* simple getAjax function 
* @param $url  request url 
* @param $param  parameter (dont use ?) 
* @param callback function on success 
*/ 
var spinnerid = '#spinner'; // Spinner as long ajax requests running 
$(document).ajaxStart(function() { $(spinnerid).show(); }); 
$(document).ajaxStop(function() { $(spinnerid).hide(); }); 
function getAjax(url, param, callback) { 
    var data = null; 
    url += "?sid=" + sid + "&" + param; 
    $.ajax({ 
     url: url, 
     method: "POST", // uncomment to use GET, POST is secured by session 
     cache: false, 
     async: true, 
     success : function(data){ 
     callback(data); 
    }, 
} 

getAjax('http://domain.com/', 'data=foo', function(data) { 
// do stuf with data 
var jsonobj = eval("(" + data + ")"); 
var data = jsonobj[0][ 'data' ]; 
}); 

負責任的php方面：

if(isset($_GET['sid'])) $client_sid = $_GET['sid']; 

if(session_id() == null) session_start(); 

if(session_id() != $client_sid) { 
    // noID or wrongID, redirect to mainindex 
    ignore_user_abort(true); 
    header("HTTP/1.1 403 Forbidden"); 
    header("Connection: close", true); 
    exit; 
} else { 

    // get data 
    if(isset($_GET['data'])) { 
     $data = $_GET['data']; 
    } else if(isset($_POST['data'])) { 
     $data = $_POST['data']; 
    } else { 
     $data = null; 
    } 

    // do stuff with data 

    // return data as json 
    $resp[0]['data'] = $data; 
    print_r(json_encode($resp)); 
}