有没有办法安全地了解托管 AJAX 调用的原始服务器？

Question

让我们想象一下，站点 A 使用指向服务器 B 的标准脚本标记嵌入了一个 javascript 文件。接下来站点 A 向服务器 B 上的资源发出 JSONP 或 AJAX 请求。服务器 B 是否可以明确知道特定 JSONP 请求源自站点 A 上的用户，而不是其他站点上的用户欺骗其 HTTP REFERRER。

我认为存在任何可能性的唯一原因是站点 A 开始与其嵌入服务器 B 的 javascript 进行通信。在某种程度上，这种原始通信不能充当安全握手的角色，从而允许后续呼叫安全地通过。但是，由于握手是通过不安全的方式进行的，因此并不妨碍它充当安全握手。

关于如何完成这项任务有什么想法吗？我能想到的每一个解决方案都被 AJAX 调用的每个元素都可以伪造的概念所打破。

我读了 http://www.codinghorror。 com/blog/2008/10/preventing-csrf-and-xsrf-attacks.html 和 在 PHP 中检测 Ajax 并确保请求来自我自己的网站，但据我所知，他们专注于确保请求的准确性用户，而不是推荐人的真实性。

Answer 1

如果您希望将服务器配置为需要相互身份验证，则可以通过 https 使用 Ajax。

Answer 2

您可以使用 Hash_chain 来验证来源。

页面加载时，随机生成 X 次哈希值，并使用初始请求（脚本标签）发送最后一个哈希值，例如 Hash[100]。每个下一个请求都使用 Hash[Last-1] 发送。

在服务器 B 上检查 hash(resieved_hash) 是否与上一个相同。