防止 .php 文件在 jQuery 请求页面之外加载

Question

我有一个使用 jQuery 在另一个页面中加载的页面。我想知道的是是否有可能以某种方式阻止直接访问在另一个页面中加载的页面。

Answer 1

您可以尝试向您的 get/post 或 cookie 添加一些神奇的值。然后在页面开头检查该值，如果缺少，则返回一些错误页面。

但是，这不会阻止某些用户这样做。如果他们调试您的请求（例如使用 Firebug），那么他们可以使用该幻数复制请求。

Answer 2

你不能 100% 阻止它——来自 jQuery 的请求是正常的浏览器请求，所以你最多能做的就是阻止外部链接和随意访问（不辞辛劳地完全复制 HTTP 请求的人仍然能够命中页面；没有办法解决这个问题）。

您可以通过检查 HTTP“referer”标头并确保引用页面是您的来停止外部链接。

您还可以通过检查标头“X-Requested-With”来检查特定请求是否来自 jQuery 与浏览器 - jQuery 添加此标头并用值“XMLHttpRequest”填充它；常规浏览器请求不会有该标头。

您还可以使用 cookie、必须包含在请求中的过期令牌等设置验证系统。但是，如果有人决定直接访问该页面并且可以绕过，那么这需要做更多的工作并且（我认为）太过分了。 HTTP 标头过滤，他们还可以找出你的令牌。

Answer 3

从类似的 Eran Galperin -direct-access-to-a-php-page">讨论

正如其他人所说，Ajax请求可以
被模仿并创造适当的
标头。如果你想有一个基本的
检查请求是否是 Ajax
您可以使用的请求：

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest') {
 //请求标识为ajax请求
}

但是你永远不应该将你的
这张支票的安全性。它将
消除对页面的直接访问
如果这就是您所需要的。

请同时考虑 Jeremy Ruten 的答案：

没有办法保证
他们通过 AJAX 访问它。
直接访问和AJAX访问均可
来自客户端，因此可以轻松地
被伪造。

你为什么要这样做？

如果是因为 PHP 代码不是
非常安全，让PHP代码更安全
安全的。 （例如，如果您的 AJAX
将用户 ID 传递给 PHP 文件，
在PHP文件中编写代码以使得
确保这是正确的用户 ID。）

上面链接的讨论中有更多聪明的想法。