我看不出类似的问题,但如果我在重复,我会道歉.
我们正在我们的系统上运行清漆缓存,但是想要安装一个系统,我们可以在编辑时清除单个页面(相当正常).我们一直试图通过使用HTTP标头来使其工作.所以,我们的VCL设置如下:
acl purge {
"localhost";
#### Our server IP #####
}
sub vcl_recv {
if (req.request == "PURGE") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
return (lookup);
}
}
sub vcl_hit {
if (req.request == "PURGE") {
purge;
}
}
sub vcl_miss {
if (req.request == "PURGE") {
purge;
}
}
但是,我仍然坚持如何实际发送http清除请求.我们在网站上使用PHP,所以我尝试过使用:
header("PL: PURGE / HTTP/1.0");
header("Host: url to purge");
但这似乎没有做任何事情(varnishlog似乎没有显示任何清除).
我也尝试过cURL但是,它似乎并没有起作用.我在这里遗漏了一些非常基本的东西,还是基础声音,这意味着我的实现被窃听了?
非常感谢,
我正在尝试建立一种技术来验证来自我的服务器的一些数据,用于简单的Javascript游戏.我知道尝试保护您的Javascript应用程序存在许多问题,因为根据定义,所有代码都可以在客户端使用.
例如,因为它是一个游戏,如果:
var playerScore = 100
阻止人们简单地编辑Javascript并运行它...
var playerScore = 10000000
...我将在服务器上验证它.然而,这(对我来说)似乎只是增加了一个非常微不足道的额外步骤来破解游戏.hacker\tweaker难道只是将我的Ajax请求的目的地改为他们自己的本地文件吗?
我想过可能会尝试在客户端和服务器之间比较一些常见值(例如日期)的即时密钥\加密,但同样,加密方法可见是如此微不足道以避免.
我知道这是一个非常广泛的主题,但有没有任何人可以推荐的最佳实践?我已经看过这篇文章(防止Javascript游戏调整/黑客攻击),它有助于防止某些篡改,但我不确定如何验证正确的服务器端验证正在发生.
一如既往,非常感谢提前.
我目前正在编写一个使用表单和PHP $ _POST数据的Web应用程序(到目前为止标准!:)).但是,(这可能是一个noob查询)我刚刚意识到,理论上,如果有人在他们的计算机上用假表单放在一起的HTML文件,请将操作作为我网站上使用的脚本之一并使用自己的随机数据填充此表单,然后他们不能将此数据提交到表单中并导致问题吗?
我清理数据等所以我不是(太)担心XSS或注入式攻击,我只是不希望有人能够,例如,将无意义的东西添加到购物车等等.
现在,我意识到对于一些脚本我可以写保护,例如只允许将东西放入可以在数据库中找到的购物车,但是在某些情况下可能无法预测所有情况.
所以,我的问题是 - 是否有一种可靠的方法来确保我的PHP脚本只能由我网站上托管的表单调用?也许某些Http Referrer会检查脚本本身,但我听说这可能是不可靠的,或者可能是一些htaccess voodoo?看起来像是一个太大的安全漏洞(特别是对于像客户评论或任何客户输入这样的东西)才能保持开放状态.任何想法都将非常感激.:) 再次感谢!