コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP と Ajax: Ajax のセキュリティを向上させる方法

WBOY
リリース: 2024-06-01 09:34:56
オリジナル
388 人が閲覧しました

Ajax セキュリティを向上させるには、いくつかの方法があります: CSRF 保護: トークンを生成してクライアントに送信し、それを検証リクエストのサーバー側に追加します。 XSS 保護: htmlspecialchars() を使用して入力をフィルタリングし、悪意のあるスクリプトの挿入を防ぎます。 Content-Security-Policy ヘッダー: 悪意のあるリソースの読み込みを制限し、スクリプトとスタイルシートの読み込みを許可するソースを指定します。サーバー側の入力を検証する: Ajax リクエストから受け取った入力を検証して、攻撃者による入力の脆弱性の悪用を防ぎます。安全な Ajax ライブラリを使用する: jQuery などのライブラリによって提供される自動 CSRF 保護モジュールを利用します。

PHP 与 Ajax:提高 Ajax 安全性的方法

PHP と Ajax: Ajax のセキュリティを向上させる方法

PHP Web アプリケーションで Ajax を使用する場合、セキュリティは非常に重要です。適切な予防策が講じられていない場合、Ajax 呼び出しはクロスサイト リクエスト フォージェリ (CSRF) およびクロスサイト スクリプティング (XSS) 攻撃に対して脆弱になる可能性があります。

この記事では、Ajax セキュリティを向上させるいくつかの方法を検討します。

1. CSRF 保護

CSRF 攻撃には、ユーザーを騙して、知らず知らずのうちにサーバーに対して悪意のあるリクエストを実行させることが含まれます。 CSRF 攻撃を防ぐには、次の方法を使用できます。 

// 令牌生成
$token = bin2hex(random_bytes(32));

// 令牌存储
$_SESSION['csrf_token'] = $token;

// 发送令牌到客户端
<input type="hidden" name="csrf_token"  value="<?php echo $token; ?>"/>
ログイン後にコピー
// 向请求中添加令牌
$.ajax({
  url: "submit.php",
  type: "POST",
  data: {
    csrf_token: "<?php echo $token; ?>",
    ...
  }
});
ログイン後にコピー

2. XSS 保護

XSS 攻撃には、ユーザーの知らないうちに実行される可能性のある悪意のあるスクリプトが Web サイトに挿入されます。 XSS 攻撃を防ぐには、次の方法を使用できます: 

// 过滤输入
$input = htmlspecialchars($input);
ログイン後にコピー

3. Content-Security-Policy ヘッダーを使用します

Content-Security-Policy (CSP) ヘッダーを使用すると、スクリプト、スタイルシート、およびその他のリソースを指定できます。ブラウザがオリジンをロードできるもの。 CSP ヘッダーは、悪意のあるリソースの読み込みを制限するために使用できます。 

// 设置 CSP 头
header('Content-Security-Policy: default-src \'self\';');
ログイン後にコピー

4. サーバー側の入力を検証する

サーバー側で Ajax リクエストから受信したすべての入力を検証することも重要です。これにより、攻撃者が入力検証の脆弱性を悪用して悪意のあるアクションを実行することができなくなります。 

// 验证输入
if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
  echo "无效的令牌";
  exit;
}
ログイン後にコピー

5. 安全な Ajax ライブラリを使用する

安全な Ajax 呼び出しに役立つ PHP および JavaScript ライブラリが多数利用可能です。たとえば、jQuery には、CSRF トークンを自動的に追加する CSRF 保護モジュールが組み込まれています。

実践的な例

ユーザーによるフォームの送信を処理する PHP スクリプトがあるとします: 

<?php
// ... form processing code ...

// 输出成功消息
echo "Submitted successfully!";
?>
ログイン後にコピー

JavaScript を使用して、フォームを送信するための Ajax リクエストを送信できます: 

$.ajax({
  url: "form.php",
  type: "POST",
  data: $("#form").serialize(),
  success: function(data) {
    $("#result").html(data);
  }
});
ログイン後にコピー

この例を保護するには、以下を追加します。次のセキュリティ対策:

  • CSRF 保護: CSRF トークンを生成および検証します。
  • 入力の検証: ユーザー入力が空で、予期された形式であることを確認します。
  • 安全な Ajax ライブラリを使用します: jQuery の CSRF 保護モジュールなど。

結論

これらのメソッドを実装すると、PHP Web アプリケーションでの Ajax 呼び出しのセキュリティを大幅に向上させることができます。適切な予防措置を講じることで、ユーザーを悪意のある攻撃から保護し、アプリケーションのセキュリティと整合性を確保できます。

以上がPHP と Ajax: Ajax のセキュリティを向上させる方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php ajax
ソース:php.cn
前の記事:導入と保守が最も簡単な PHP フレームワーク 次の記事:PHP フレームワークに適用できるシナリオは何ですか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート