コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > JavaScript - Ajax API でセキュリティ検証を行うにはどうすればよいですか?

JavaScript - Ajax API でセキュリティ検証を行うにはどうすればよいですか?

WBOY
リリース: 2016-08-08 09:06:48
オリジナル
1594 人が閲覧しました

Web で、Ajax を使用して API を呼び出すとき、他の Web サイトが API を呼び出さないようにセキュリティ検証を行うにはどうすればよいですか?

APP呼び出しの場合、インターフェースのセキュリティ問題を解決するにはどうすればよいですか?また、API がパブリック ネットワークに公開されないようにするにはどうすればよいでしょうか? APP を呼び出すことができる限り、それは公共のインターネットに公開されているとみなされませんか?

返信内容:

Web で、Ajax を使用して API を呼び出すとき、他の Web サイトが API を呼び出さないようにセキュリティ検証を行うにはどうすればよいですか?

APP呼び出しの場合、インターフェースのセキュリティ問題を解決するにはどうすればよいですか?また、API がパブリック ネットワークに公開されないようにするにはどうすればよいでしょうか? APP を呼び出すことができる限り、それは公共のインターネットに公開されているとみなされませんか?

Ajax はドメイン間で問題を解決できません。クロスドメイン シミュレーション リクエストはサーバー経由で送信され、Ajax データを取得できます

2 つの方法がありますが、基本的には似ています。1 つはリクエスト ヘッダーで、もう 1 つは入力トークンをページに追加することです。ただし、これら 2 つの方法の主な問題は、トークン = md5(IP. + 乱数 + タイムスタンプ + UID + session_secret) 実際には、主に暗号化を行うだけでコンテンツを定義できます

暗号化されたコンテンツをセッションに追加し、セッションの有効期限を設定します

1.ヘッダーをリクエストしたい場合

access_tokenリクエストヘッダーを追加し、バックグラウンドでリクエストヘッダーの内容を取得し、セッション内の値と比較してみると、問題がないことが証明され、セッションが無効になります。 。

2. リクエストヘッダーと似ていますが、Ajax を送信するときに、暗号化された値が取得され、パラメーターに配置されます。

あなたの質問にアプリで答えてください

アプリにアクセスするには、パブリックネットワーク上にある必要があります。現在のセキュリティソリューションはパラメータ暗号化です

たとえば、a=1&n=2を送信したい場合

その後、実際に送信するときにパラメータを暗号化する必要があります、mid=xxx&a=1&b=2&sign=md5('mid=xxx&a=1&b=2'+key)

mid はクライアントがインターフェースを呼び出すためのアカウントを表し、そのアカウントはキーに対応します

サーバーは、送信されたパラメータが正しいかどうかを毎回確認する必要があります。これは最後の符号パラメータです

もう 1 つの重要な点は、クライアントがネイティブ APP の場合、逆コンパイルを防ぐためにコードを難読化および暗号化する必要があるということです。そして、このキーは定期的に変更され、バージョンが更新されるとキーも変更されます

もう 1 つの方法は、パラメーターを送信する前に、送信されるすべてのパラメーターの暗号化されたアドレスをリクエストすることです。このアドレスは、パラメーターに基づいて暗号化されたトークンを返します。このトークンを取得し、実際のパラメーターを送信すると、バックエンドがそれを実行します。確認してください

この方法の欠点は、ネットワーク リクエストが 1 つ必要になることです。これはハイブリッド アプリケーションにのみ適しています

これらは他のブログを読んで学んだものですが、淘宝網やJD.comなどのアプリのインターフェイスがどのように処理されるのかわかりません

サーバーに追加の設定がない場合、Ajax はドメインを越えて API を呼び出すことができません。また、要求されたドメイン名を取得して判断することもできます。

承認したウェブサイトへのアクセスを許可するには

リクエストヘッダーに Access-Token を追加できます


それがインターフェイスの性質を持つ API 呼び出しである場合は、公共のインターネットに公開すべきではありません。フロントエンド JS に使用される ajax である場合は、ユーザーがログイン後にのみ呼び出しできるようにする必要があります。セッションを検証することを意味します。

内にあります (

など) リーリー

または ajax请求头里加上token をテンプレートの基本クラスに追加します リーリー

有効な値はログイン API から返されます。これはアプリケーションによって設計される必要があります (ID を検証する場合はトークンを使用します)。サーバーはトークンを使用してユーザーを識別します。

に似ています。oauth2.0 を参照してくださいtoken

関連ラベル:
javascript php
ソース:php.cn
前の記事:このmysqlステートメントをphpでどのように書くのでしょうか? 次の記事:JavaScript - 私は PHP を初めて使用するため、コードが文字化けする問題があります。
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
JavaScript を使用せずにクリック時に画像ソースを動的に変更する CSS のみのメソッド img:active{} のような CSS のみを使用して、マウスクリック時に画像の src を変更する必要があります
から 2024-04-06 19:25:49
0
1
505
d3.js でズームインすると散布図のポイントの値が維持されない d3.js を使用するのは初めてなので、ご容赦ください。 vue.js ファイルに純粋な JavaScript として実装しました。ズーム機能を使用して散布図を作成しようとしていま...
から 2024-04-06 18:16:26
0
1
403
ベンダー固有の疑似要素上の JavaScript ホバー イベント 次の htmlinput タグがあります。 $("input[type='range']::-webkit-slider-thumb").on('hover',...
から 2024-04-06 15:35:24
0
1
274
Javascript/Jqueryを使用してボタンなしでフォームを送信する JavaScript 関数を呼び出し、JQUERY/PHP を使用してフォームを実行することにより、ボタンのないフォームを送信しようとしています。ページを再読み込みせずに、バックエ...
から 2024-04-06 14:54:03
0
2
421
CollapseDisplay クラスを使用してブートストラップ アコーディオン ヘッダーの外観をカスタマイズする class Collapseshow を使用してパネルのカード タイトルのスタイルを設定したいと考えています。この例では、最初のパネルです。 CSS を使用して .accordio...
から 2024-04-06 12:53:11
0
1
376
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート