[英]Deny external access to php files
我的平台使用AJAX
與內部結構(API和其他結構)進行通信。 所有AJAX
請求都發送到一個名為globalAPI.php
(POST方法)的文件中,在那里他與其他php文件進行通信(這樣做是為了隱藏內部結構)。
假設用戶發現了它的工作原理,並從他的服務器開始發出請求。 我們可以得出結論,即使沒有登錄到我的平台,它也會產生結果。
那么如何保護此文件以供外部訪問?
我相信我可以將.htaccess
文件與Allow from 127.0.0.1
一起使用,但是如果用戶將其IP更改為127.0.0.1
怎么辦,他將可以訪問此文件?
還有另一種方法來保護此文件?
如果要限制對它們的訪問,則應在所有API調用中實現身份驗證系統。
基本上,您不能阻止用戶從Devtools中打開“網絡”選項卡並查看您的客戶端對服務器API的請求:高級用戶可以看到每個請求發送的參數,並使用相同或不同的參數重新發送請求。
如果可以通過AJAX訪問此文件,則無論如何客戶端都可以訪問該文件:您要做的是確保用戶不能訪問超出AJAX調用權限的內容。 為此,請保護您的API,例如,為每個調用請求一個用戶令牌:服務器將知道哪個用戶訪問該API,您可以從那時開始處理授權。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.