javascript - PHP - 如何检查请求是否针对 JS worker

Question

在为 referrer-policy 咨询 MDN 之后和谷歌搜索、DuckDucking 和 StackOverlow 搜索，也许你能帮我解决这个相当简单(但虚幻)的问题？

工艺流程

1. 浏览器向服务器发起请求
2. 根据 HTTP_REFERER header ，服务器决定响应

但是为什么呢？ (你问)

这是一套精心设计的安全检查的一部分，在这种情况下决定客户端是否可以访问请求的文件FUBU(由我们为我们)。

如果 referer 丢失，这将不起作用，但是当 JavaScript 向指定的 worker 发出请求时 - referer(请求 header )确实丢失了。

我尝试过但失败了

• 为每个请求设置Referrer-Policy: same-origin
• 设置适当的 CORS header Access-Control-Allow-Headers: x-requested-with - 响应每个请求。

问题

我如何确定请求是针对 JS 工作文件，还是强制 HTTP 机制按其应有的方式运行？

Answer 1

跳出“框框”思考

由于“似乎”没有办法以“好的”方式做到这一点，因此人们总是可以运用一点点创造力来实现特定的结果。

简单回顾一下:

• 要求是要有一种方法来识别从何处发出请求
• 这可以通过每次 Worker 调用手动实现，也可以自动实现
• 任何安全问题似乎都在别处处理
• 在调用时更改 Worker URL 可能有助于自动处理

可行的解决方案

这是一个可用于“劫持”某些类调用或方法的包装器:

const hijack = function(driver,victim,jacker)
{
    if(((typeof driver)=='string')&&!victim){return this.plan[driver]}; // recap
    if(victim in this.plan){return}; // only jack once? .. less cruel
    this.plan[victim]={victim:driver[victim],jacker:jacker}; // plan the heist

    let con = {enumerable:false,configurable:false,writable:false,value:function()
    {
        let car=hijack((this.mask||this.name||this.constructor.name)); let m=this.mask;
        let arg=car.jacker.apply(null,arguments); if(!Array.isArray(arg)){arg=[arg]};
        if(!m){return new (Function.prototype.bind.apply(car.victim,[null].concat(arg)))()}
        else{return car.victim.apply(this,arg)};
    }};

    try{con.value.prototype = Object.create(driver[victim].prototype)} // blend in
    catch(oops){Object.defineProperty(driver,'mask',{value:victim});}; // recover
    Object.defineProperty(driver,victim,con);
}.bind({plan:{}});

... nail meets hammer

工作原理

• 它有 3 个参数:
  1. driver ~ 包含目标函数/方法的对象
  2. victim ~ 将被拦截的函数/方法的名称
  3. jacker ~ 回调函数 - 用于中继/更改参数
• 将原方法复制到可以使用或后续调用的地方
• 回调强加(废除)原始参数并且可以在调用者和被调用者之间传递不变的参数(与原始参数完全一样)，但现在您可以控制它如何发生(如果有的话)以及传递什么；要么有一些简单的条件，要么有一些精心设计的计划(又名“邪恶计划”)
• 为简单起见，此代码(以上)仅允许每个 victim 进行 1 次拦截，但这可以扩展为多次拦截；通过“链中继”(回调数组)或“事件分发器 + 事件监听器组合”。

如何使用

具体问题:

hijack(window,'Worker',function(arg){return `${arg}?worker=true`});

为了解决评论中的安全问题，api-key 可能会有用；因此，如果将某些 string 传递给当前 session (或客户端)唯一的正在运行的实例(浏览器或服务器)，它就足够了，例如:

hijack(window,'Worker',function(arg){return `${arg}?worker=${window.ApiKey}`});

.. 其中 ApiKey 被全局定义为 string，但它也可以是函数调用的结果 - 从 cookie 或其他任何一个中获取.

有用的工具

这也可用于增强安全性。如果您担心从 devtools 发出的 XHR 请求，或者更糟:eval( ) - 然后您可以使用此劫持 全局拦截这些调用/调用。

例如:

hijack(URL,'createObjectURL',function(arg){console.log(arg); return `whatever`});

如果您打算将其用作安全工具，那么它需要一些 TLC，其中包含一些“调用堆栈回溯”、“突变观察器”......和一小撮(暗)物质 (:

免责声明
在这次演习中没有人受伤..受害者没事..自行决定使用