我使用 jquery POST 调用来获取数据以显示在我网站的各个部分。
通常,他们发布到单个“ajax_handler.php”页面,该页面读取请求的参数并返回相关数据。典型的参数可能是 'get_order_details',123
如何阻止用户发布到脚本以尝试检索他们不应该能够检索的数据?例如,我知道我可以验证数据是否属于当前登录的用户,但我如何才能阻止用户“猜测”可能存在“get_some_info”的处理程序?
由于用户甚至可以直接从 URL 运行 javascript,这对我来说似乎是一个主要的安全问题,因为客户端可以访问 SESSION 和 COOKIE 数据(否则我会使用这些数据来保证安全性)。
我想我可以先用一个随机字符串命名我的每个处理程序标识符,但我不想影响我的代码的易读性。
【问题讨论】:
使用随机字符串命名您的处理程序是通过默默无闻的安全性,虽然它可能会减慢某人的速度,但它不会阻止他们。
最好的办法是在每次访问页面时存储会话或数据库校验和。然后也将相同的校验和与 POST 内容一起发送。当通过 AJAX 或其他方式提交表单时,您将比较校验和。如果它们不匹配,那么您就知道用户不在适当的页面上并且正在尝试通过其他方法访问处理程序。
【讨论】:
对于每个用户,您可以在数据库中存储他应该能够查看哪些数据以及他不应该查看哪些数据。每次收到请求时,例如 get_order_details,您应该调用一个函数来进行安全检查,以确保用户已登录,并且他可以访问“get_order_details”方法或他尝试的任何其他方法访问。
【讨论】:
您尝试做的事情与互联网的运作方式根本相反。您不能也不应该尝试限制用户向您的服务发出请求的方式。这是一种非常过时和落后的思维方式。与其试图限制用户使用您的服务的方式,不如感谢他们首先使用您的服务。
您所能做的就是确保用户已通过身份验证并有权访问他们请求的记录。如果您使用的系统没有身份验证,并且您想防止用户“猜测”下一条记录的 ID,请不要使用顺序 ID。使用随机生成的字符串作为您的标识符。让它们足够长,以使用户很难偶然发现其他记录。
【讨论】: