javascript - 如何保护 Ajax 链接请求？

Question

想象下一个场景:用户想要注册到网页并填写表格。当他填写表格时，jQuery 不断检查 regular expression如果字段有效等...

以email为主键，用户注册登录后使用的主键，email字段需要勾选Ajax让用户知道该电子邮件是否已注册。我想用 Ajax 检查它以避免发送完整的表单并清空它，刷新页面等......

所以，当用户填写完电子邮件字段后，Ajax 请求就会发送到服务器，类似于下一个链接:

example.com/check.php?email=abcdefg@gmail.com

当 check.php 收到邮件时，它会询问数据库是否存在并返回如下消息:User already exists if user exists or null if user不存在。

问题是:如果有人翻阅我的 .js 并找到类似的链接，他们可以使用该链接发送大量请求以查明这些随机电子邮件是否存在。这可能会导致数据库的大量使用，或者在最坏的情况下甚至导致崩溃和私有(private)信息泄露。

有人可以做一个巨大的 for 循环来检查电子邮件，例如:

//Getting the response of the next links
example.com/check.php?email=aaaaaaa@gmail.com // Returns null
example.com/check.php?email=aaaaaab@gmail.com // Returns null
example.com/check.php?email=aaaaaac@gmail.com // Returns null
example.com/check.php?email=aaaaaad@gmail.com // Returns User already exists

------------------------------------------ -------------------------------------------------- --------------------------------------

自从我上次接受答案以来，我一直对此进行调查，并找到了避免这种行为的解决方案。以下代码适用于 JAVA，但逻辑可以应用于任何其他服务器端语言。

在向服务器发出任何 ajax 请求之前，我向服务器请求一个 token 。这个 token 看起来像这样的 fmf5p81m6e56n4va3nkfu2ns8n 它是通过一种简单的方法制作的，但是它可以更复杂，但这很好。

public String getToken() throws UnsupportedEncodingException {
    return new BigInteger(130, new SecureRandom()).toString(32);
}

当请求 token 时，服务器不仅返回 token ，还返回一个小脚本，以防有人使用浏览器检查元素(和浏览器导航栏)，这样脚本将运行并清除 token 。 Servlet 返回如下内容:

_html += "<head>"
    + "<script> "
    + "window.onload=function(){\n"
    + "       document.body.innerHTML = \"\";\n"
    + "    }"
    + "window.location.href='http://mywebsite.com' "
    + "</script>"
    + "</head>"
    + "<body>"
    + "[" + token+ "]"
    + "</body>"
    + "</html>";

首先清空 body ，然后导航回我们想要的任何地方。然而，javascript/jquery 会将整个内容捕获为字符串，然后我只需提取 [ 和 ] 之间的字符串。此 token 仅可用于下一个请求，因此每个 AJAX 请求都会有其唯一的 token 。在第二次请求中，刚刚使用的 token 被删除。

获得 token 后，我将其作为参数附加到我请求的任何链接，如下所示:

ajaxRequestObjet = $.ajax({
    url: "http://localhost:8084/mywebsite.com/servlet", //<-- local tomcat server
    method: "POST",
    data: "type=AJAX&page=some-article&token=fmf5p81m6e56n4va3nkfu2ns8n"
});

这种方法适用于手动检查网站并尝试使用链接的人，但是自动执行此操作的 java/php/IIS 服务器呢？

为此要求标题!像这样的:

boolean isAjax = "XMLHttpRequest".equals(request.getHeader("X-Requested-With")); 

只有当 XMLHttpRequest 存在时才会为真......

最后一件事要记住。确保您的应用程序中不存在 'Access-Control-Allow-Origin' header ，以确保不在您的服务器中的任何 javascript 都不会获取服务器资源。如果此 header 不存在，chrome 将返回:

XMLHttpRequest cannot load http://localhost:8084/mywebsite.com/servlet. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost' is therefore not allowed access.

Java 服务器在 tomcat 中，我有另一个 apache 用于此测试，这是 apache 中存在的小 html，它给出了上述错误:

<html>
<head>
    <script src="http://code.jquery.com/jquery-latest.min.js" type="text/javascript"></script>

    <script>
    ajaxRequestObjet = $.ajax({
        url: "http://localhost:8084/mywebsite.com/servlet",
        method: "POST",
        data: "type=AJAX&page=Token"
    });

    ajaxRequestObjet.done(function (msg) { 
        alert(msg);
    });

    </script>

</head>
<body>
</body>
</html>

Answer 1

虽然您不能 100% 控制...但有一些选择..

尝试使用与验证码脚本相同的方法..

基本上，当用户加载表单/页面时。您在他们的 PHP session 中生成一个随机字符串/id 并将其存储。当他们发送 ajax 请求时，让您的 ajax 检查附加字符串/id 并要求它在允许执行其他检查之前返回 500 或其他内容的 header ..

在 session 中使用这种方法，您可以设置允许的检查限制(例如 5 次)，一旦用户尝试超过 5 次检查，他们就需要重新加载页面或执行人工检查(例如验证码)。然后它会重置他们的计数。甚至允许在 1 小时内/每个 IP 之类的总共说 30 个。

还可以使用智能事件在 ajax 检查完成时触发，例如字段/选项卡更改或按下按钮时。或者在检测到有效电子邮件时......但假设 .com.au 会触发两次。

基本上是这样，即使有人嗅探了您的 JS 文件并试图自动化电子邮件检查器。这将要求他们找到一种方法来附加您生成的字符串/ID，并限制他们执行的请求数量。

除此之外，您可以轻松完成的事情不多了。但是还有一些其他的想法。

他们中的大多数人会使用 PHP session /cookie 来解决问题。例如，如果他们检查并找到 3 个电子邮件地址。然后您再次将其设置为限制并强制他们要求手动提交或其他内容。

看看上面的建议对你来说如何，有任何问题都可以尽管问。但周末可能需要一两天时间才能回复。同时研究验证码脚本如何作为大量源代码为他们工作。因为他们致力于相同的想法。

时间延迟只会看起来很糟糕/让您的网站看起来很慢/让用户等待响应。

您需要限制每个 session /IP 地址的查找量。否则总有办法通过这些检查。基本上一旦它们达到限制。强制用户/IP/ session 等待几分钟/几小时，并使用验证码脚本验证它们，因此无法编写脚本...

Javascript 安全/隐藏源代码

虽然您不能真正做到这一点，但您可以使用带有 JS header 的 PHP 页面来做某些事情来生成 JS。所以 <script src='myjscode.php'></script>这允许 PHP 检查有效 session 。因此在一定程度上停止外部请求。但这对于允许 JS 仅在成员(member)/登录后可用是最有用的。

多次检查/如果可能的话

根据您的方法，这是为了让用户检查他们是否已有帐户？如果是这样......你可以将电子邮件检查与他们的名字/国家/年龄/出生日期等结合起来......所以他们需要选择两个或三个正确的匹配值才能从ajax调用中获得检查/响应？

也许不是你的情况，但我想也会添加这个。