个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
26
4
我正在创建一个带有 php 后端的网站。我有一个名为 /inc/ 的目录,其中包含生成 html 网页时包含的 php 包含文件。
如果用户试图请求 /inc/ 目录中的任何文件(例如,通过浏览器中的 url),我已经做到了,所以他们会被重定向到主页。我这样做是为了确保这些文件都不会被外部调用。
我需要通过 jQuery POST 请求调用其中一个文件。
这是我的问题:
1) 我能以某种方式隐藏 POST 中请求的文件的 url 吗?
2) 通过 jQuery 对 /inc/ 文件夹中文件的 POST 是否会失败,因为对/inc/文件夹中文件的外部请求被重定向到主页?或者服务器是否区分 POST 请求和其他类型的请求?
3)(可选)我如何确保 POST 请求“合法”完成,而不是机器人试图通过同时发出数千个 post 请求来破坏我的服务器?
最佳答案
确保您的网址不易被追踪的选项
我将讨论选项 3
示例(包括 2.!)
#Checks if the request is made within the domain
#Edit these to your domain
RewriteCond %{HTTP_REFERER} !^.*domain\.com [NC]
RewriteCond %{HTTP_REFERER} !^.*domain\.com.*$ [NC]
#Pretends the requested page isn't there
RewriteRule \.(html|php|api.key)$ /error/404 [L]
#Set a key to your 'hidden' url
#Since this is server-based, the client won't be able to get it
#This will set the environment variable when a request is made to
#www.yourwebsite.com/the folder this .htaccess is in/request_php_script
SetEnvIf Request_URI "request_php_script" SOMEKINDOFenvironmentNAME=http://yourlink.com
#Alternatively set Env in case your apache doesn't support it
#I use both
SetEnv SOMEKINDOFNAME request_php_script
#This will send the requester to the script you want when they call
#www.yourwebsite.com/the folder this .htaccess is in/request_php_script
RewriteCond %{REQUEST_URI} request_php_script$ [NC]
#if you don' want a php script to handle javascript and benefit the full url obfuscation, write the following instead
#RewriteRule ^.*$ /adirectscript.php [L]
RewriteRule ^.*$ /aredirectscript.php [L]
#and yes this can be made shorter, but this works best if folders and keys in your ENV are similar in some extend
在这种情况下,可以调用将您重定向到正确页面的 php 脚本,但如果所有内容都是内部的,那么我不明白您为什么要隐藏脚本的 url。如果您已如图所示设置 .htaccess,则只有您的页面可以访问它。用户和外部来源无法访问它,因为他们将被重定向。
但是,如果您的脚本引用外部 API key ,那么这可能会有用,您可以调用重定向脚本
<?php
echo file_get_contents(getEnv("SOMEKINDOFNAME"));
?>
现在调用此脚本时,它会返回您的内容。如果你想在页面中加载,你可以调用这里描述的东西来代替
getting a webpage content using Php
要充分利用它,您必须将 jQuery POST 方法设置为 POST at www.yourwebsite.com /这个 .htaccess 所在的文件夹/request_php_script.php
旁注:您可以跳过额外的 php 脚本,但您可以在 .har 文件中进行追踪。这意味着最后,您的网址仍然可以在某处访问。使用额外的 php 脚本(为方便起见给它查询参数)将混淆 url 足以使其难以找到。我用这种方式隐藏了对外部 API key 的请求
TLDR:
Medium 'secure'
cannot be found in script
cannot be traced back without saving har files
Highly 'secure'
cannot be found in script
cannot be traced back, even when saving har files
关于php - 隐藏 url 和重定向对 AJAX POST 的影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12851981/
26
4
0
有人有 Comet 应用程序 .net 的任何样本吗? 我需要一个示例如何在服务器中保持客户端的连接? 最佳答案 这里也有一些不错的: http://www.frozenmountain.com/we
我想知道是否有 Yii2 专家可以帮助我了解如何最好地使用 ajax 表单与 Yii ajax 验证相结合。我想我可以在不带您阅读我所有代码的情况下解释这个问题。 我正在处理一个促销代码输入表单,用户
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求提供代码的问题必须表现出对所解决问题的最低限度的了解。包括尝试的解决方案、为什么它们不起作用以及预期结果
f:ajax 和 a4j:ajax 标记之间有什么显着差异吗? 我知道 Richfaces 4 中的 a4j:ajax 基于 native f:ajax JSF2 标记,添加了一些 f:ajax 中未
我已经尝试过这样但无法获取数组列表。它返回“null” var data=[]; data[0] = '1'; data[1] = '2'; $.ajax({
在教程中可以看到 jQuery.ajax 和 $.ajax 喜欢这里 http://www.thekludge.com/form-auto-save-with-jquery-serialize/ jQ
过度使用 AJAX 会影响性能吗?在大型 Web 应用程序的上下文中,您如何处理 AJAX 请求以控制异步请求? 最佳答案 过度使用任何东西都会降低性能;在必要时使用 AJAX 将提高性能,特别是如果
似乎我无法使用 Ext.Ajax.request 进行跨域 ajax 调用。看起来 ScriptTag: True 没有任何效果。 这是我的代码: {
我正在使用 Bottle 微框架(但我怀疑我的问题来自它) 首先,如果我定义了一个从/test_redirect 到/x 的简单重定向,它会起作用。所以 Bottle redirect() 在简单的情
任何人都可以指出各种 AJAX 库的统一比较吗?我已经阅读了大约十几种不同的书,我即将开始一个项目,但我对自己是否已经探索了可能性的空间没有信心。 请注意,我不是在要求“我认为 XXX 很棒”——我正
似乎使用 AJAX 的站点和应用程序正在迅速增长。使用 AJAX 的主要原因之一可能是增强用户体验。我担心的是,仅仅因为项目可以使用 AJAX,并不意味着它应该。 可能是为了 UX,AJAX 向站点/
假设我有一个可以通过 Javascript 自定义的“报告”页面。假设我有可以更改的 start_date、end_date 和类型(“简单”或“完整”)。现在 我希望地址栏始终包含当前(自定义) V
我一直在阅读 Ajax 并且希望从 stackoverflow 社区看到我是否正确理解所有内容。 因此,正常的客户端服务器交互是用户在 url 中拉出 Web 浏览器类型,并将 HTTP 请求发送到服
这可能有点牵强,但让我们假设我们需要它以这种方式工作: 我在服务器的 web 根目录中有一个 index.html 文件。该文件中的 javascript 需要向/secure/ajax.php 发出
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它. 去年关闭。 Improve this
我希望ajax post成功进入主页。由于某种原因,我一直做错事。知道我应该做什么来解决这个问题吗? window.APP_ROOT_URL = ""; Ajax $.ajax({ url: '#{a
我在 2 个不同的函数中有 2 个 ajax 调用。我想用.click来调用这2个函数。 func1 将数据插入数据库,然后 func2 检索数据,所以我的问题是如何等到 func1 完全完成然后只执
我试图在单击按钮后禁用该按钮。我尝试过: $("#ajaxStart").click(function() { $("#ajaxStart").attr("disabled", true);
我试图在每个 Ajax 请求上显示加载动画/微调器 我的 application.js $(document).on("turbolinks:load", function() { window.
我正在显示使用jQplot监视数据的图形。 为了刷新保存该图的div,我每5秒调用一次ajax调用(请参见下面的JavaScript摘录)。 在服务器上,PHP脚本从数据库中检索数据。 成功后,将在5
我是一名优秀的程序员,十分优秀!