合法性に関する質問

Question

私は初心者で、今日コードを書いているときに突然セキュリティの問題が発生しました。

さまざまな ajax リクエストについて、ハッカーは外部からコードを送信できますか? JS ファイル ブラウザはそれを見ることができる、つまりコードを知ることができるからです では、ハッカーが私たちのドメイン名を使用して外部に送信した場合、PHP はそれが合法かどうかを判断できるでしょうか?たとえば、自分のファイルが送信されたかどうかを判断しますか?

たとえば、私の js ファイルにはコード セクションがあります

$('input').click(function(){
    $.post('index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
})
那么如果黑客通过外部提交
xxxxxxxxxxx
$('input').click(function(){
xxxxxx
    $.post('http://www.xxxx.com/index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
xxxxxx
})
xxxxxxxxxxx

それを防ぐには、PHP でどのように記述しますか?

Answer 1

CSRF について理解していますか?

Answer 2

外部からの提出は正常であり、注射は手順によって防止する必要があります。

Answer 3

あなたの言ったことによると、外部のAjaxシミュレーションによって送信されたデータはクロスドメインです。

これに対処する方法は複数あります。例:

1. ログインしたメンバーのみが閲覧できるようにしたり、ドメイン名を制限したりすることができます。しかし、この障害はいつでも克服できます。

2. セッションを使用してトークンを生成します。セッションが正当である場合は、毎回新しいトークンが存在することを確認します。

3. アクセスログを分析し、サーバーレベルで不審なIPアクセスを制限します。

4. 各 IP の操作密度を記録します。頻度が高い場合は、時々確認コードを要求できます。

...

多くの方法がありますが、どれが最適というわけではありません。多面的なアプローチを取ることをお勧めします。採用希望〜