在PHP中检测Ajax并确保请求来自我自己的网站

Question

我使用我的PHP后端通过检查$_SERVER['HTTP_X_REQUESTED_WITH']中的值来检测AJAX请求。

这给了我一个可靠的检测，确保请求是利用AJAX技术。

如何确保请求来自我自己的域，而不是外部域/机器人？

www.example.com/ajax?true可以允许任何人进行AJAX调用并剪切信息。

我可以为每个进入我的网站的人正常开会，然后允许AJAX呼叫......但那也可能是假的。

这些事情现在有没有关系？

Answer 1

让你控制器

• 生成会话访问令牌
• 商店后面的比较

在你看来

• 声明访问令牌作为JS变量
• 每个请求发送令牌

回到你的控制器

• 验证HTTP_X_REQUESTED_WITH
• 验证令牌

检查这些安全guidelines from OpenAjax。
另外，请阅读有关codinghorror.com Annie的文章。

Answer 2

检查$_SERVER['HTTP_REFERER']。这在很多情况下都能正常工作，但不应该将它们混淆成完全安全的解决方案。

Answer 3

您可以检查HTTP_REFERRER，但不是所有浏览器都设置它。最好的方法是在JavaScript端发送ajax调用的包装器，它将document.cookie的一部分发送回服务器 - 只有你的域可以访问cookie。您可以将请求标头中的cookie与php中的AJAX调用中的cookie进行比较。

作为回应，“它甚至很重要，这些天” - 是的，它的确如此！ Read this。

Answer 4

大卫·沃尔什具有良好的solution

/* decide what the content should be up here .... */ 
$content = get_content(); //generic function; 

/* AJAX check */ 
if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { 
    /* special ajax here */ 
    die($content); 
} 

/* not ajax, do more.... */ 

Answer 5

真的，最安全的方法就是按照您的建议使用服务器端会话，因为这些会话不能像Cookie那样制作。当然，某人仍然可以劫持会话ID，但是如果您还将用户的IP地址存储在他们的会话中并在每个请求中检查它，那么可以清除很多劫持。只有在同一局域网或代理上的人才能劫持它。

提到的任何其他方法 - cookies，javascript，http referer - 取决于客户端数据，这些数据是不安全的，应始终怀疑是伪造，伪造，劫持和恶意构建。

Answer 6

关于你的最后一个问题：“在这些日子里，它甚至很重要吗？” 这是个案的问题。如果ajax请求正在做一些不需要安全性的事情（例如，加载最新的股票报价），那么它对于恕我直言并不重要。如果请求正在加载应该保护的信息（例如，返回标识信息或在服务器上执行某些操作），那么您应该将其视为等待。

我个人不使用服务器变量来知道何时是ajax请求。相反，我只是添加一个查询参数给ajax调用（例如http://domain.com/?ajax=true）。如果我需要保护ajax调用，那么我会使用与保护常规页面请求（使用客户端和服务器）相同的方法。正如Lucas Oman指出的那样，客户端的任何东西都可能是伪造的。底线不相信任何请求，即使您认为它来自您的网站或数据库。始终遵循口头禅“过滤器输入 - 退出输出”。

Answer 7

使用POST会话安全要求：

网页内（如的index.php），我们需要存储的SessionID

<?php 
// Create Session 
$session = session_id(); 
if(empty($session)) session_start(); 
?> 
<head> 
... 
<script type="text/javascript"> 
    sid = '<?php echo session_id(); ?>'; 
</script> 
<script type="text/javascript" src="ajaxrequest.js"></script> 
... 
</head> 

Ajax请求（ajaxrequest.js）

/* simple getAjax function 
* @param $url  request url 
* @param $param  parameter (dont use ?) 
* @param callback function on success 
*/ 
var spinnerid = '#spinner'; // Spinner as long ajax requests running 
$(document).ajaxStart(function() { $(spinnerid).show(); }); 
$(document).ajaxStop(function() { $(spinnerid).hide(); }); 
function getAjax(url, param, callback) { 
    var data = null; 
    url += "?sid=" + sid + "&" + param; 
    $.ajax({ 
     url: url, 
     method: "POST", // uncomment to use GET, POST is secured by session 
     cache: false, 
     async: true, 
     success : function(data){ 
     callback(data); 
    }, 
} 

getAjax('http://domain.com/', 'data=foo', function(data) { 
// do stuf with data 
var jsonobj = eval("(" + data + ")"); 
var data = jsonobj[0][ 'data' ]; 
}); 

负责任的php方面：

if(isset($_GET['sid'])) $client_sid = $_GET['sid']; 

if(session_id() == null) session_start(); 

if(session_id() != $client_sid) { 
    // noID or wrongID, redirect to mainindex 
    ignore_user_abort(true); 
    header("HTTP/1.1 403 Forbidden"); 
    header("Connection: close", true); 
    exit; 
} else { 

    // get data 
    if(isset($_GET['data'])) { 
     $data = $_GET['data']; 
    } else if(isset($_POST['data'])) { 
     $data = $_POST['data']; 
    } else { 
     $data = null; 
    } 

    // do stuff with data 

    // return data as json 
    $resp[0]['data'] = $data; 
    print_r(json_encode($resp)); 
}