之前我以为
PHP cURL模拟请求也会有跨域限制的。
疑问
在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。
但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下:
同源策略防止跨域是浏览器中的安全机制.而PHP的cURL可以看做一个命令行下的浏览器(客户端),不受任何限制,就像你用file_get_contents下载互联网上的东西一样随心所欲, 来源。
感觉这样设计会不会有点不合理?JS Ajax有跨域限制,PHP cURL这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL形式的也作为跨域限制?
那这样的形式又应该如何去防止跨域调用呢?
解决方案
之前想做网易云客户端的时候,有看过
网易云音乐的接口,是通过CSRF_TOKEN防止跨域调用的。
PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN,再进行跨域调用吧?另外,还有什么方案能够解决这个问题吗?
期待大家的解答,谢谢!
============ 10-27 15:51 ==============
Sorry,我理解错了...我以为是PHP cURL做了什么特殊处理。谢谢南小鸟的回答,其实就是相当于直接访问指定URL,自然不会产生跨域问题...
那如果希望我的接口不能被外界访问呢?
在内网
这种应该就不需要设置什么了。
在外网
设置
CSRF_TOKEN,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN主要是为了防止跨站请求伪造,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID进行攻击。检查
REFER。还有什么方法呢?
目前我打算用JWT生成Token,每次,请求需要带上Token(带上用户信息,进行权限控制等)。
感觉留坑了,Sorry。也感谢Gforce的回答。
回复内容:
之前我以为
PHP cURL模拟请求也会有跨域限制的。
疑问
在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。
但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下:
同源策略防止跨域是浏览器中的安全机制.而PHP的cURL可以看做一个命令行下的浏览器(客户端),不受任何限制,就像你用file_get_contents下载互联网上的东西一样随心所欲, 来源。
感觉这样设计会不会有点不合理?JS Ajax有跨域限制,PHP cURL这种形式的则没有跨域限制。为什么当时确定跨域限制的时候,为什么不把PHP cURL形式的也作为跨域限制?
那这样的形式又应该如何去防止跨域调用呢?
解决方案
之前想做网易云客户端的时候,有看过
网易云音乐的接口,是通过CSRF_TOKEN防止跨域调用的。
PS:话说这种方案,貌似能够通过爬网页获取CSRF_TOKEN,再进行跨域调用吧?另外,还有什么方案能够解决这个问题吗?
期待大家的解答,谢谢!
============ 10-27 15:51 ==============
Sorry,我理解错了...我以为是PHP cURL做了什么特殊处理。谢谢南小鸟的回答,其实就是相当于直接访问指定URL,自然不会产生跨域问题...
那如果希望我的接口不能被外界访问呢?
在内网
这种应该就不需要设置什么了。
在外网
设置
CSRF_TOKEN,但我查了一些CSRF_TOKEN的资料,貌似CSRF_TOKEN主要是为了防止跨站请求伪造,并不是用来做这个的...防止携带你的授权信息cookie:SESSIONID进行攻击。检查
REFER。还有什么方法呢?
目前我打算用JWT生成Token,每次,请求需要带上Token(带上用户信息,进行权限控制等)。
感觉留坑了,Sorry。也感谢Gforce的回答。
php curl 就相当于你浏览器直接打开一个网址,这样当然不算跨域了
可以作一个接口验证,比如利用 JWT
PHP类型提示如何起作用,包括标量类型,返回类型,联合类型和无效类型?Apr 17, 2025 am 12:25 AMPHP类型提示提升代码质量和可读性。1)标量类型提示:自PHP7.0起,允许在函数参数中指定基本数据类型,如int、float等。2)返回类型提示:确保函数返回值类型的一致性。3)联合类型提示:自PHP8.0起,允许在函数参数或返回值中指定多个类型。4)可空类型提示:允许包含null值,处理可能返回空值的函数。
PHP如何处理对象克隆(克隆关键字)和__clone魔法方法?Apr 17, 2025 am 12:24 AMPHP中使用clone关键字创建对象副本,并通过\_\_clone魔法方法定制克隆行为。1.使用clone关键字进行浅拷贝,克隆对象的属性但不克隆对象属性内的对象。2.通过\_\_clone方法可以深拷贝嵌套对象,避免浅拷贝问题。3.注意避免克隆中的循环引用和性能问题,优化克隆操作以提高效率。
PHP与Python:用例和应用程序Apr 17, 2025 am 12:23 AMPHP适用于Web开发和内容管理系统,Python适合数据科学、机器学习和自动化脚本。1.PHP在构建快速、可扩展的网站和应用程序方面表现出色,常用于WordPress等CMS。2.Python在数据科学和机器学习领域表现卓越,拥有丰富的库如NumPy和TensorFlow。
描述不同的HTTP缓存标头(例如,Cache-Control,ETAG,最后修饰)。Apr 17, 2025 am 12:22 AMHTTP缓存头的关键玩家包括Cache-Control、ETag和Last-Modified。1.Cache-Control用于控制缓存策略,示例:Cache-Control:max-age=3600,public。2.ETag通过唯一标识符验证资源变化,示例:ETag:"686897696a7c876b7e"。3.Last-Modified指示资源最后修改时间,示例:Last-Modified:Wed,21Oct201507:28:00GMT。
说明PHP中的安全密码散列(例如,password_hash,password_verify)。为什么不使用MD5或SHA1?Apr 17, 2025 am 12:06 AM在PHP中,应使用password_hash和password_verify函数实现安全的密码哈希处理,不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希,增强安全性。2)password_verify验证密码,通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值,不适合现代密码安全。
PHP:服务器端脚本语言的简介Apr 16, 2025 am 12:18 AMPHP是一种服务器端脚本语言,用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言,无需编译,适合快速开发。2.PHP代码嵌入HTML中,易于网页开发。3.PHP处理服务器端逻辑,生成HTML输出,支持用户交互和数据处理。4.PHP可与数据库交互,处理表单提交,执行服务器端任务。
PHP和网络:探索其长期影响Apr 16, 2025 am 12:17 AMPHP在过去几十年中塑造了网络,并将继续在Web开发中扮演重要角色。1)PHP起源于1994年,因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成,使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响,但也面临版本更新和安全性挑战。4)近年来的性能改进,如PHP7的发布,使其能与现代语言竞争。5)未来,PHP需应对容器化、微服务等新挑战,但其灵活性和活跃社区使其具备适应能力。
为什么要使用PHP?解释的优点和好处Apr 16, 2025 am 12:16 AMPHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用,适合初学者;2)与web服务器集成好,支持多种数据库;3)拥有如Laravel等强大框架;4)通过优化可实现高性能;5)支持多种操作系统;6)开源,降低开发成本。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境
禅工作室 13.0.1
功能强大的PHP集成开发环境
EditPlus 中文破解版
体积小,语法高亮,不支持代码提示功能
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
Dreamweaver CS6
视觉化网页开发工具
