Heim >Backend-Entwicklung >PHP-Tutorial >Wie verhindert man den direkten Zugriff auf AJAX-aufgerufene PHP-Dateien?
Abfangen des direkten Zugriffs auf AJAX-aufgerufene Dateien
In AJAX-gesteuerten Anwendungen erfordert das Abrufen von Daten aus serverseitigen PHP-Skripten sorgfältige Überlegungen Sicherheit. Beim Aufrufen von Skripten über GET-Anfragen werden deren Inhalte und Parameter für jeden sichtbar, der HTTP-Header untersucht.
Verhindern des direkten Dateizugriffs
Um zu verhindern, dass nicht autorisierte Benutzer direkt auf PHP-Dateien zugreifen können wir den von AJAX-Anfragen gesendeten HTTP_X_REQUESTED_WITH-Header nutzen. Dieser Header zeigt an, dass die Anfrage von einem XMLHttpRequest stammt, sodass wir sie von direkten Zugriffsversuchen unterscheiden können.
Implementierung
Fügen Sie in Ihrem PHP-Skript den folgenden Codeblock hinzu vor allen sensiblen Vorgängen:
if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) { // Allow access to AJAX requests } else { // Block direct file access and display an error message header("HTTP/1.0 403 Forbidden"); echo "Direct access not permitted."; }
AJAX-Anfrage Header
Ihr JavaScript-Code sollte die folgende Zeile enthalten, um den X-Requested-With-Header zu AJAX-Anfragen hinzuzufügen:
var xhrobj = new XMLHttpRequest(); xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");
Dadurch wird sichergestellt, dass der Server den Header korrekt empfängt identifiziert die Anfrage als AJAX-Aufruf. Durch die Implementierung dieser Maßnahmen können Sie den direkten Dateizugriff auf PHP-Skripte, die von AJAX-Funktionen aufgerufen werden, wirksam verhindern und gleichzeitig die Zugänglichkeit für legitime AJAX-Anfragen aufrechterhalten.
Das obige ist der detaillierte Inhalt vonWie verhindert man den direkten Zugriff auf AJAX-aufgerufene PHP-Dateien?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!