Maison >développement back-end >tutoriel php >javascript - PHP cURL或者类似的客户端请求不算跨域,会不会不安全?有什么防范措施?

javascript - PHP cURL或者类似的客户端请求不算跨域,会不会不安全?有什么防范措施?

WBOY
WBOYoriginal
2016-12-01 01:27:401535parcourir

之前我以为PHP cURL模拟请求也会有跨域限制的。

疑问

在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。

但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下:

同源策略防止跨域是浏览器中的安全机制.而PHP的cURL可以看做一个命令行下的浏览器(客户端),不受任何限制,就像你用file_get_contents下载互联网上的东西一样随心所欲, 来源。

感觉这样设计会不会有点不合理?JS Ajax有跨域限制,PHP cURL这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL形式的也作为跨域限制?

那这样的形式又应该如何去防止跨域调用呢?

解决方案

  1. 之前想做网易云客户端的时候,有看过网易云音乐的接口,是通过CSRF_TOKEN防止跨域调用的。
    PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN,再进行跨域调用吧?

  2. 另外,还有什么方案能够解决这个问题吗?

期待大家的解答,谢谢!

============ 10-27 15:51 ==============

Sorry,我理解错了...我以为是PHP cURL做了什么特殊处理。谢谢南小鸟的回答,其实就是相当于直接访问指定URL,自然不会产生跨域问题...

那如果希望我的接口不能被外界访问呢?

在内网

这种应该就不需要设置什么了。

在外网

  1. 设置CSRF_TOKEN,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN主要是为了防止跨站请求伪造,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID进行攻击。

  2. 检查REFER

  3. 还有什么方法呢?

目前我打算用JWT生成Token,每次,请求需要带上Token(带上用户信息,进行权限控制等)。

感觉留坑了,Sorry。也感谢Gforce的回答。

回复内容:

之前我以为PHP cURL模拟请求也会有跨域限制的。

疑问

在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。

但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下:

同源策略防止跨域是浏览器中的安全机制.而PHP的cURL可以看做一个命令行下的浏览器(客户端),不受任何限制,就像你用file_get_contents下载互联网上的东西一样随心所欲, 来源。

感觉这样设计会不会有点不合理?JS Ajax有跨域限制,PHP cURL这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL形式的也作为跨域限制?

那这样的形式又应该如何去防止跨域调用呢?

解决方案

  1. 之前想做网易云客户端的时候,有看过网易云音乐的接口,是通过CSRF_TOKEN防止跨域调用的。
    PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN,再进行跨域调用吧?

  2. 另外,还有什么方案能够解决这个问题吗?

期待大家的解答,谢谢!

============ 10-27 15:51 ==============

Sorry,我理解错了...我以为是PHP cURL做了什么特殊处理。谢谢南小鸟的回答,其实就是相当于直接访问指定URL,自然不会产生跨域问题...

那如果希望我的接口不能被外界访问呢?

在内网

这种应该就不需要设置什么了。

在外网

  1. 设置CSRF_TOKEN,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN主要是为了防止跨站请求伪造,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID进行攻击。

  2. 检查REFER

  3. 还有什么方法呢?

目前我打算用JWT生成Token,每次,请求需要带上Token(带上用户信息,进行权限控制等)。

感觉留坑了,Sorry。也感谢Gforce的回答。

php curl 就相当于你浏览器直接打开一个网址,这样当然不算跨域了

可以作一个接口验证,比如利用 JWT

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn