9
确保只有经过认证的用户才能接受某些页面的某些ajax调用的最佳做法是什么?只接受来自已认证用户的某些ajax请求
例如:
比方说,我有一个名为blog.php的主网页(我知道,创造力丰富)。我们还要说,有一个页面叫做delete.php它寻找参数post_id,然后从数据库中删除一些条目。
在这个非常人为的例子中,blog.php上有一些机制通过ajax发送一个请求到delete.php来删除一个条目。
现在这个机制只会在blog.php上被认证用户使用。但是,如果阻止某人只是用一堆随机数调用delete.php并删除站点中的所有内容,又该如何呢?
我做了一个简单的测试,我设置blog.php的会话变量,然后做一个AJAX调用delete.php如果会话变量被设置或不回(这不是)。
什么是接受的方式来处理这种事情?
好的。我第一次尝试这个时肯定是疯了。
我只是做了另一个测试,就像我上面描述的那样,它完美地工作。