Ich erstelle eine Anwendung, die einen Ajax-Aufruf (jquery) akzeptiert und dem validierten Benutzer ein Eintrags-Token an die Website zurückgibt.
Sagen Sie zum Beispiel, der Ajax heißt checkAuth.php und es gibt alle anderen PHP-Dateien in diesem Verzeichnis. Indem Sie das JS ändern, um eine andere Datei wie checkMail.php zu validieren, zum Beispiel:
%Vor%Ändern Sie die URL zu checkMail.php und erstellen Sie eine Sicherheitslücke auf der Website?
%Vor%Obwohl das Ergebnis ein anderes Objekt zurückgeben würde, würde dies jedoch zu einer "offenen Tür" führen, wo der böswillige Benutzer vielleicht weiterhin Anfragen senden würde, um Zugang zu erhalten? Ich verstehe, dass der Benutzer wissen musste, dass die PHP-Datei existiert, aber ich bin unsicher, wie man dies sicher unter Beibehaltung meiner Verzeichnisstruktur verarbeitet. Bitte beachten Sie, das ist nicht mein tatsächlicher Code und ich kann die Antwort mit diesen anderen Posts nicht klären oder ich verstehe das nicht richtig.
Bearbeiten: Zusätzlich - würde das bedeuten, dass jede Site, die jquery verwendet, in der Lage wäre, eine beliebige Datei vom Server anzufordern und eine Schwachstelle zu erzeugen?
Wie authentifiziere ich eine AJAX-Anfrage an eine PHP-Datei? Datei?
Im Allgemeinen kann jede AJAX-Anfrage auf alle Dateien zugreifen, auf die über eine HTTP-Anfrage zugegriffen werden kann, so wie der Benutzer die vollständige URL als Browseradresse eingibt.
Sie müssen also am Anfang von PHP-Skripts das Sicherheitstoken oder etwas anderes überprüfen.
Sie können den Zugriff auf Ordner oder Dateien mit .htaccess einschränken, siehe Ссылка
Tags und Links javascript jquery php security ajax