m33*_*3bo 9 javascript php security ajax jquery
我正在创建一个接受ajax调用(jquery)的应用程序,并将经过验证的用户返回一个条目令牌到网站.
比如说ajax叫做checkAuth.php,这个目录里还有其他所有的php文件.通过更改JS来验证另一个文件,例如checkMail.php,例如:
var xmlRequest = $.ajax({
url: "checkAuth.php",
processData: false,
data: xmlDocument
});
将网址更改为checkMail.php并在网站中创建漏洞?
var xmlRequest = $.ajax({
url: "checkMail.php",
processData: false,
data: xmlDocument
});
虽然结果将返回一个不同的对象,但这样做会创建一个"敞开的大门",也许恶意用户会继续发送请求以获取访问权限?我知道用户必须知道php文件存在但是我不确定如何在保持我的目录结构的同时安全地处理它.请注意这不是我的实际代码,我不能用这些其他帖子澄清答案,或者我没有正确理解这一点.
编辑:此外 - 这是否意味着任何使用jquery的网站都能够从服务器请求任何文件并创建漏洞?
小智 0
一般来说,任何 AJAX 请求都可以访问通过 http 请求访问的所有文件,例如用户输入完整的 URL 作为浏览器地址。
因此,您必须在 PHP 脚本的开头检查安全令牌或其他内容。
您可以使用 .htaccess 限制对文件夹或文件的访问,请参阅/sf/answers/821082391/
| 归档时间: |
|
| 查看次数: |
160 次 |
| 最近记录: |