ホームページ > に質問 > 本文

合法性に関する質問

私は初心者で、今日コードを書いているときに突然セキュリティの問題が発生しました。

さまざまな ajax リクエストについて、ハッカーは外部からコードを送信できますか? JS ファイルブラウザはそれを見ることができる、つまりコードを知ることができるからですでは、ハッカーが私たちのドメイン名を使用して外部に送信した場合、PHP はそれが合法かどうかを判断できるでしょうか?たとえば、自分のファイルが送信されたかどうかを判断しますか?

たとえば、私の js ファイルにはコードセクションがあります

$('input').click(function(){
    $.post('index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
})
那么如果黑客通过外部提交
xxxxxxxxxxx
$('input').click(function(){
xxxxxx
    $.post('http://www.xxxx.com/index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
xxxxxx
})
xxxxxxxxxxx

それを防ぐには、PHP でどのように記述しますか?

按键盘手指磨破皮2579日前1688

全員に返信(3)返信します

MrSwan2018-05-23 12:38:25

CSRF について理解していますか?

返事

phpcn_u22108

phpcn_u221082017-09-01 18:39:28

外部からの提出は正常であり、注射は手順によって防止する必要があります。

返事

悪意のある POST により、注文がスワイプされ、量が増加するなどの可能性があります。

— 按键盘手指磨破皮 · 2017-09-01 20:03:07

ringa_lee2017-09-01 15:46:40

あなたの言ったことによると、外部のAjaxシミュレーションによって送信されたデータはクロスドメインです。

これに対処する方法は複数あります。例:

1. ログインしたメンバーのみが閲覧できるようにしたり、ドメイン名を制限したりすることができます。しかし、この障害はいつでも克服できます。

2. セッションを使用してトークンを生成します。セッションが正当である場合は、毎回新しいトークンが存在することを確認します。

3. アクセスログを分析し、サーバーレベルで不審なIPアクセスを制限します。

4. 各 IP の操作密度を記録します。頻度が高い場合は、時々確認コードを要求できます。

...

多くの方法がありますが、どれが最適というわけではありません。多面的なアプローチを取ることをお勧めします。採用希望〜

返事

これらの方法はあまり信頼できるとは思えません... パケットキャプチャソフトウェアでパケットをキャプチャした後、たとえば、インターネット上には多くの IP があり、ファイルにアクセスしてセッションをキャプチャできます。使用済み。 PHP を学ぶ上で最も重要なことは、ハッキングされないようにすることだと感じています。私の Web サイトは常にハッキングされ、コード化され、違法に投稿されています。

— 按键盘手指磨破皮 · 2017-09-01 16:06:46

分かりました、答えてくれてありがとう

— 按键盘手指磨破皮 · 2017-09-01 16:22:31

絶対的な方法はありません。サーバーに重点を置き、すべての方法を使用すれば、他の人はあなたのサイトを簡単に攻撃できなくなります。あなたはそれほど人気のあるサイトではありません。人々は一日中何もせずに座って、毎日あなたのサイトを攻撃することについて調査したり考えたりすることはできません。

— ringa_lee · 2017-09-01 16:20:36

キャンセル返事