我想在我的应用程序中添加一个额外的障碍,以防止通过 javascript 自动执行它,特别是在任何流行浏览器通过 XMLHttpRequest 完成自动请求时。
我可以在 ASP.NET 中使用 XMLHttpRequest 的可靠信号吗?
我想另一个相关的问题是,XMLHttpRequest 很难看起来是一个普通的人为驱动的请求吗?因为如果是这样,那我想我是在做傻事。
更新:我可能对这个问题的表述过于狭隘。目标是检测:由其他人编写的代码,而不是由普通浏览器提交的代码,可能是机器人,可能不是来自我的 Intranet 客户等。到目前为止,我想到了 XHR 和 .NET WebRequest 请求。
【问题讨论】:
标签: asp.net javascript xmlhttprequest browser-detection
您始终可以使用验证码来确保由人工负责提交请求。 recaptcha.net 是免费的,有助于将书籍数字化。
编辑:
如果您知道要尝试阻止的恶意行为类型,则可以开发简单的算法来检测该行为。当检测到该行为时,您可以使用验证码向客户提出质疑,以确保有人负责。这种方法开始成为普遍做法。看看这个主题的post。
【讨论】:
不,没有办法做到这一点。很多流行的库,如 jquery,都放置了一个特殊的标头(jquery 的“x-requested-with”)来表明它是一个 ajax 调用,但这显然是客户端自愿的。
你必须假设你收到的任何请求都可能是恶意的
【讨论】:
你可以做一些偷偷摸摸的事情,但不幸的是它不会阻止所有人。例如,您可以在加载页面时运行的开始/登录页面上放置一些 JavaScript。此 JavaScript 会导致重定向,并可能会写入一个加密的 cookie 值,然后将其发送回服务器。使用 XMLHttpRequest(或其他)显然只是返回内容并且不执行任何 JavaScript,因此您可以过滤掉这些请求,因为它们没有脚本设置的 cookie 值。在 JavaScript 上运行一些混淆会更好。
【讨论】:
没有办法查明请求是否是伪造的。使用 .NET HttpWebRequest 类,您可以完美地模拟来自浏览器的任何有效 HTTP 请求。但根据您的应用,您可以考虑以下其中一项:
你必须找出人们为什么会尝试这样做,然后找到一种方法让他们非常不方便。可能以这样一种方式,您可以轻松地修改验证程序,以便他们必须一直跟上。
【讨论】:
您可以使用request challenge tokens 实施策略,这与用于CSRF/XSRF 保护的策略不同。另一种可能的选择可能是使用身份验证,但如果您有一个公共网站,这可能不是很友好。
【讨论】:
据我所知,XMLHttpRequest 的所有实现都会在请求中添加一个标头。
编辑:
抱歉,标头(至少在 PHP 下)是 'HTTP_X_REQUESTED_WITH'
【讨论】: