【发布时间】:2013-01-04 12:34:50
【问题描述】:
我目前正在编写一个 Android 应用程序,它访问我服务器上的一个 PHP 文件并显示我的 MYSQL 数据库提供的 JSON 数据。
一切都很好,我喜欢它的简单性,但我不太满意有人可以输入这个 PHP 文件的 URL 并看到一个充满潜在敏感数据的页面。
你会给我什么建议来阻止任何人访问这个 PHP 文件,除了那些使用我的 Android 应用程序的人?
非常感谢您提供任何信息。
【问题讨论】:
【发布时间】:2013-01-04 12:34:50
【问题描述】:
如果请求使用以下标头发送,为什么不只启用有效响应:
Content-Type=application/json
如果请求没有将它作为Content-Type 传递,那么您只需终止脚本(因为常规浏览器通常希望获得text/html 或类似的东西)。把所有东西都锁得严严实实是不值得的,就好像你的应用可以从你的服务器获取数据一样,任何用户也有机会。
【讨论】:
-
好主意。感谢您的提示。
实际上并没有万无一失的方法来做到这一点。但是,您可以要求用户代理与您的应用程序匹配。您还可以在应用程序中隐藏作为 POST 数据传递到 PHP 文件的私钥。现在,这些都不会阻止那些决心获得原始产出的人,但它会减慢那些只是在浪费时间看看他们能完成什么的人。
【讨论】: