在 ASP.NET 中嗅探 XMLHttpRequest（浏览器嗅探 AJAX 请求）的可靠方法？

Question

我想在我的应用程序中添加一个额外的障碍，以防止通过 javascript 实现自动化，特别是当自动化请求是通过来自任何流行浏览器的 XMLHttpRequest 完成时。

是否有可以在 ASP.NET 中使用的 XMLHttpRequest 的可靠标志？

我想另一个相关问题是，XMLHttpRequest 很难看起来是一个普通的人类驱动的请求吗？ 因为如果是的话，那么我想我是在做傻事。

更新：我可能把这个问题表述得太狭隘了。 目标是检测：由其他人编写的代码，不是由普通浏览器提交的，可能是机器人，可能不是来自我的 Intranet 客户，等等。到目前为止，我想到的是 XHR 和 .NET WebRequest 请求。

Answer 1

您始终可以使用验证码来确保有人负责提交请求。 recaptcha.net 是免费的，有助于书籍数字化。

编辑：

如果您知道要阻止什么类型的恶意行为，则可以开发简单的算法来检测该行为。 当检测到这种行为时，您可以使用验证码向客户端发起挑战，以确保有人对此负责。 这种方法开始成为普遍做法。 查看关于此主题的帖子。

Answer 2

不，没有办法做到这一点。 许多流行的库（例如 jquery）都放置了一个特殊的标头（jquery 为“x-requested-with”）来指示它是 ajax 调用，但这显然是客户端自愿的。

不幸的是，您必须假设您收到的任何请求都可能是恶意的

Answer 3

你可以做一些偷偷摸摸的事情，但不幸的是这并不能阻止所有人。 例如，您可以将一些 JavaScript 放置在加载页面时运行的开始/登录页面上。 此 JavaScript 会导致重定向，并可能写入一个加密的 cookie 值，该值会发送回服务器。 使用 XMLHttpRequest （或其他）显然只是返回内容并且不执行任何 JavaScript，因此您可以过滤掉这些请求，因为它们没有脚本设置的 cookie 值。 在 JavaScript 上运行一些混淆会更好。

Answer 4

无法确定请求是否是伪造的。 使用 .NET HttpWebRequest 类，您可以完美模仿来自浏览器的任何有效 HTTP 请求。 但根据您的应用程序，您可以考虑以下操作之一：

• 查看 HTTP 标头以查找最明显的尝试
• 防止短时间内来自同一 IP 地址的过多请求
• 需要登录
• 只允许某些 IP 地址范围
• 验证码
• 运行一些提交之前的 Javascript 代码会使 .NET HttpWebRequest 的 hack 变得更加困难（请参阅 Mark Ba​​rnard 的回答）。

您必须找出人们为什么会尝试这样做，然后找到一种方法让他们感到非常不方便。 可能以这样的方式，您可以轻松地修改验证程序，以便它们必须始终跟上。

Answer 5

您可以使用请求质询令牌来实施策略，与可能使用的策略不同用于 CSRF/XSRF 保护。 另一种可能的选择可能是使用身份验证，尽管如果您有公共网站，这可能不是很友好。

Answer 6

据我所知，XMLHttpRequest 的所有实现都会向请求添加标头。

编辑：

抱歉，标头（至少在 PHP 下）是“HTTP_X_REQUESTED_WITH”