コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
目次
返信内容:
ホームページ バックエンド開発 PHPチュートリアル JavaScript - Ajax API でセキュリティ検証を行うにはどうすればよいですか?

JavaScript - Ajax API でセキュリティ検証を行うにはどうすればよいですか?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Aug 08, 2016 am 09:06 AM
javascript php

Web で、Ajax を使用して API を呼び出すとき、他の Web サイトが API を呼び出さないようにセキュリティ検証を行うにはどうすればよいですか?

APP呼び出しの場合、インターフェースのセキュリティ問題を解決するにはどうすればよいですか?また、API がパブリック ネットワークに公開されないようにするにはどうすればよいでしょうか? APP を呼び出すことができる限り、それは公共のインターネットに公開されているとみなされませんか?

返信内容:

Web で、Ajax を使用して API を呼び出すとき、他の Web サイトが API を呼び出さないようにセキュリティ検証を行うにはどうすればよいですか?

APP呼び出しの場合、インターフェースのセキュリティ問題を解決するにはどうすればよいですか?また、API がパブリック ネットワークに公開されないようにするにはどうすればよいでしょうか? APP を呼び出すことができる限り、それは公共のインターネットに公開されているとみなされませんか?

Ajax はドメイン間で問題を解決できません。クロスドメイン シミュレーション リクエストはサーバー経由で送信され、Ajax データを取得できます

2 つの方法がありますが、基本的には似ています。1 つはリクエスト ヘッダーで、もう 1 つは入力トークンをページに追加することです。ただし、これら 2 つの方法の主な問題は、トークン = md5(IP. + 乱数 + タイムスタンプ + UID + session_secret) 実際には、主に暗号化を行うだけでコンテンツを定義できます

暗号化されたコンテンツをセッションに追加し、セッションの有効期限を設定します

1.ヘッダーをリクエストしたい場合

access_tokenリクエストヘッダーを追加し、バックグラウンドでリクエストヘッダーの内容を取得し、セッション内の値と比較してみると、問題がないことが証明され、セッションが無効になります。 。

2. リクエストヘッダーと似ていますが、Ajax を送信するときに、暗号化された値が取得され、パラメーターに配置されます。

あなたの質問にアプリで答えてください

アプリにアクセスするには、パブリックネットワーク上にある必要があります。現在のセキュリティソリューションはパラメータ暗号化です

たとえば、a=1&n=2を送信したい場合

その後、実際に送信するときにパラメータを暗号化する必要があります、mid=xxx&a=1&b=2&sign=md5('mid=xxx&a=1&b=2'+key)

mid はクライアントがインターフェースを呼び出すためのアカウントを表し、そのアカウントはキーに対応します

サーバーは、送信されたパラメータが正しいかどうかを毎回確認する必要があります。これは最後の符号パラメータです

もう 1 つの重要な点は、クライアントがネイティブ APP の場合、逆コンパイルを防ぐためにコードを難読化および暗号化する必要があるということです。そして、このキーは定期的に変更され、バージョンが更新されるとキーも変更されます

もう 1 つの方法は、パラメーターを送信する前に、送信されるすべてのパラメーターの暗号化されたアドレスをリクエストすることです。このアドレスは、パラメーターに基づいて暗号化されたトークンを返します。このトークンを取得し、実際のパラメーターを送信すると、バックエンドがそれを実行します。確認してください

この方法の欠点は、ネットワーク リクエストが 1 つ必要になることです。これはハイブリッド アプリケーションにのみ適しています

これらは他のブログを読んで学んだものですが、淘宝網やJD.comなどのアプリのインターフェイスがどのように処理されるのかわかりません

サーバーに追加の設定がない場合、Ajax はドメインを越えて API を呼び出すことができません。また、要求されたドメイン名を取得して判断することもできます。

承認したウェブサイトへのアクセスを許可するには

リクエストヘッダーに Access-Token を追加できます


それがインターフェイスの性質を持つ API 呼び出しである場合は、公共のインターネットに公開すべきではありません。フロントエンド JS に使用される ajax である場合は、ユーザーがログイン後にのみ呼び出しできるようにする必要があります。セッションを検証することを意味します。

内にあります (

など) リーリー

または ajax请求头里加上token をテンプレートの基本クラスに追加します リーリー

有効な値はログイン API から返されます。これはアプリケーションによって設計される必要があります (ID を検証する場合はトークンを使用します)。サーバーはトークンを使用してユーザーを識別します。

に似ています。oauth2.0 を参照してくださいtoken

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
レポ:チームメイトを復活させる方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
ハローキティアイランドアドベンチャー:巨大な種を手に入れる方法
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
スプリットフィクションを打ち負かすのにどれくらい時間がかかりますか?
3週間前 By DDD
R.E.P.O.ファイルの保存場所:それはどこにあり、それを保護する方法は?
3週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7346
15
Java チュートリアル
1627
14
CakePHP チュートリアル
1352
52
Laravel チュートリアル
1265
25
PHP チュートリアル
1214
29
もっと見る
Related knowledge
CakePHP プロジェクトの構成 CakePHP プロジェクトの構成 Sep 10, 2024 pm 05:25 PM

この章では、CakePHP の環境変数、一般設定、データベース設定、電子メール設定について理解します。

Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド Dec 24, 2024 pm 04:42 PM

PHP 8.4 では、いくつかの新機能、セキュリティの改善、パフォーマンスの改善が行われ、かなりの量の機能の非推奨と削除が行われています。 このガイドでは、Ubuntu、Debian、またはその派生版に PHP 8.4 をインストールする方法、または PHP 8.4 にアップグレードする方法について説明します。

CakePHP の日付と時刻 CakePHP の日付と時刻 Sep 10, 2024 pm 05:27 PM

Cakephp4 で日付と時刻を操作するには、利用可能な FrozenTime クラスを利用します。

CakePHP ファイルのアップロード CakePHP ファイルのアップロード Sep 10, 2024 pm 05:27 PM

ファイルのアップロードを行うには、フォーム ヘルパーを使用します。ここではファイルアップロードの例を示します。

CakePHP ルーティング CakePHP ルーティング Sep 10, 2024 pm 05:25 PM

この章では、ルーティングに関連する次のトピックを学習します。

CakePHP について話し合う CakePHP について話し合う Sep 10, 2024 pm 05:28 PM

CakePHP は、PHP 用のオープンソース フレームワークです。これは、アプリケーションの開発、展開、保守をより簡単にすることを目的としています。 CakePHP は、強力かつ理解しやすい MVC のようなアーキテクチャに基づいています。モデル、ビュー、コントローラー

PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法 PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法 Dec 20, 2024 am 11:31 AM

Visual Studio Code (VS Code とも呼ばれる) は、すべての主要なオペレーティング システムで利用できる無料のソース コード エディター (統合開発環境 (IDE)) です。 多くのプログラミング言語の拡張機能の大規模なコレクションを備えた VS Code は、

CakePHP バリデータの作成 CakePHP バリデータの作成 Sep 10, 2024 pm 05:26 PM

Validator は、コントローラーに次の 2 行を追加することで作成できます。

See all articles