防止从本地主机或其他域调用 php 脚本

Question

我有一个包含一些 php 脚本的网站，其中一些是在 ajax 中调用的。
我想阻止一些恶意用户尝试从其他站点或虚拟 localhost 站点调用和使用这些脚本。

我考虑过过滤域名，但是使用 EasyPHP 和虚拟主机管理器等工具，您可以运行本地网站来欺骗“域名”。

我也想过过滤调用者的IP地址，但我猜如果你能欺骗“域名”，你也能欺骗本地IP。

那么，我该怎么做才能让这个安全工作正常呢？

Answer 1

你指的是Cross Site Request Forgery。

same-origin policy 将禁止从另一个网站调用您的脚本。考虑到这一点以及 AJAX 请求在未经服务器同意的情况下通过Cross-Origin Resource Sharing 仅包含几个标头这一事实，您可以从 PHP 发送自定义 HTTP 标头并在服务器端检查该标头。如果缺少标头，则很可能请求不是来自您自己的应用程序。

您还可以要求每个客户端为每个请求发送一个唯一令牌以获取数据。最常用的令牌方法称为Synchronizer token pattern。

对于这个答案中包含的一长串链接感到抱歉，但我认为这个主题是一个微妙的主题，并且像任何安全问题一样，我认为从许多来源中尽可能多地阅读是至关重要的，以便从不同的角度了解问题，提供可用的解决方案，并为您的用例选择合适的解决方案。

阅读资源：

• How to stop other website to send cross domain ajax requests?
• What's the point of X-Requested-With header?
• Using CORS