ホームページ >バックエンド開発 >PHPチュートリアル >javascript - PHP cURL または同様のクライアントリクエストはクロスドメインとみなされませんが、安全ではありませんか?どのような予防策が講じられていますか?
以前は、
PHP cURL
シミュレートされたリクエストにもクロスドメイン制限があると考えていました。
インターフェースを設計する際、アクセス許可が必要な機密データ(ログイン後に閲覧する必要がある個人データなど)。 token
テストをしてみます。
ただし、他の共通インターフェイスは直接取得できますが、クロスドメイン呼び出しを防ぐためにクロスドメインヘッダーが追加されていますが、その後、PHP cURL
是能调用成功的。后面看了eechen
を介して呼び出しが成功することが判明しました。 eechen
の回答を後で読みました。以下の通り:
クロスドメインを防ぐための同一オリジンポリシーは、ブラウザーのセキュリティメカニズムです。PHP の cURL は、インターネット上で何かをダウンロードするために file_get_contents を使用するのと同じように、コマンドラインの下では何の制限もなくブラウザー (クライアント) とみなすことができます。あなたが望むものと同じです、ソース。
このデザインは少し無理があると思いますか? JS Ajax
にはクロスドメイン制限がありますが、 JS Ajax
有跨域限制,PHP cURL
这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL
このフォームにはクロスドメイン制限はありません。クロスドメイン制限を決定する際に、なぜ フォームをクロスドメイン制限としても使用しなかったのでしょうか?
では、このようなフォームではクロスドメイン呼び出しをどのように防ぐのでしょうか?
网易云音乐
的接口,是通过CSRF_TOKEN
防止跨域调用的。
PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN
以前 NetEase Cloud クライアントを作成したいと思ったとき、
============ 10-27 15:51 ==============
PHP cURL
做了什么特殊处理。谢谢南小鸟
的回答,其实就是相当于直接访问指定URL
ごめんなさい、誤解していました…
Nan Xiaoniao
の回答に感謝します。これは実際には、指定された URL
に直接アクセスするのと同等であり、当然クロスドメインの問題は発生しません...私のインターフェースが外部からアクセスできないようにしたい場合はどうすればよいですか?
これには設定は必要ありません。
CSRF_TOKEN
,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN
主要是为了防止跨站请求伪造
,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID
セットアップ
REFER
チェック
JWT
生成Token
,每次,请求需要带上Token
現在は
Gforce
穴が空いたような気がします、ごめんなさい。また、ご回答ありがとうございます
シミュレートされたリクエストにもクロスドメイン制限があると考えていました。
PHP cURL
以前は、
token
インターフェースを設計する際、アクセス許可が必要な機密データ(ログイン後に閲覧する必要がある個人データなど)。
PHP cURL
是能调用成功的。后面看了eechen
ただし、他の共通インターフェイスは直接取得できますが、クロスドメイン呼び出しを防ぐためにクロスドメインヘッダーが追加されていますが、その後、
eechen
の回答を読みました。以下の通り: クロスドメインを防ぐための同一オリジンポリシーは、ブラウザーのセキュリティメカニズムです。PHP の cURL は、インターネット上で何かをダウンロードするために file_get_contents を使用するのと同じように、コマンドラインの下では何の制限もなくブラウザー (クライアント) とみなすことができます。あなたが望むものと同じです、ソース。
JS Ajax
有跨域限制,PHP cURL
这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL
このデザインは少し無理があると思いますか? JS Ajax
にはクロスドメイン制限がありますが、 このフォームにはクロスドメイン制限はありません。クロスドメイン制限を決定する際に、なぜ
网易云音乐
的接口,是通过CSRF_TOKEN
防止跨域调用的。
PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN
ご回答をお待ちしております、ありがとうございます!
============ 10-27 15:51 ==============PHP cURL
做了什么特殊处理。谢谢南小鸟
的回答,其实就是相当于直接访问指定URL
による特殊な処理だと思っていました。 Nan Xiaoniao
の回答に感謝します。これは実際には、指定された URL
に直接アクセスするのと同等であり、当然クロスドメインの問題は発生しません...
これには設定は必要ありません。
セットアップCSRF_TOKEN
,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN
主要是为了防止跨站请求伪造
,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID
をします。
チェックREFER
。
他には何がありますか?
現在はJWT
生成Token
,每次,请求需要带上Token
を使用する予定です(ユーザー情報の取得、権限制御の実行など)。
穴が空いたような気がします、ごめんなさい。また、ご回答ありがとうございますGforce
。
phpカールは、ブラウザでURLを直接開くことと同等であり、もちろんクロスドメインとしてカウントされません
JWTを使用するなどのインターフェース検証を実行できます