保護/驗證對服務器的JSON請求
[英]protecting/authenticating JSON requests to server
問題描述
我正在使用Ajax將JSON數據發送到我的服務器以進行php腳本解析。
例如,這是將要輸出的JSON: http : //myserver.com/parse.php? user= 123& point=100& callback ......
然后“ parse.php”腳本將獲取URL中的點並將其用戶ID存儲在user = 123中。
但是,如果某人在瀏覽器上直接使用“ http://myserver.com/parse.php?user = 123&point = 100&callback ......”而不讓我的JavaScript對其進行初始化,則他們可以欺騙自己的觀點,他們可以在URL中設置為任意數量。
那么我如何保護/認證JSON請求呢?
3 個解決方案
解決方案1
1 已采納 2012-02-07 10:12:01
如果要通過AJAX請求或類似的客戶端傳遞用戶點,則根本無法保護應用程序免受欺騙。 您的用戶告訴腳本他/她獲得了100分,您如何確定這是公平的數字? 傳遞您用來計算分數的初始數據,例如問題的有效答案或您要測量的內容。
如果您的應用程序中具有登錄機制,則可以在執行腳本時在服務器端檢查有效憑據,而無需通過GET / POST實際傳遞用戶標識符。
最后,在您的方法中,您可以檢查AJAX標頭和引用( $_SERVER['HTTP_X_REQUESTED_WITH']和$_SERVER['HTTP_REFERER'] ),以確保請求來自您的JS代碼,但這實際上只是一個較小的問題調整,這很容易妥協。 另外,並非每個瀏覽器都傳遞引用標頭(取決於隱私設置),因此可能會出現其他問題。
解決方案2
0 2012-02-07 10:14:44
要求用戶登錄才能調用parse.php。 如果請求未提供有效的會話ID,請拒絕采取措施。
解決方案3
-1 2012-02-07 10:11:14
不要在客戶端放置任何游戲數據和邏輯。 永遠不要信任客戶。 您始終必須計算服務器端。
更多信息(不依賴鏈接標題,答案中有很多信息): https : //gamedev.stackexchange.com/questions/3695/how-do-you-prevent-your-javascript-html5-web-從復制或更改的游戲
對 azure 批處理 REST 接口 (php) 的請求進行身份驗證
[英]Authenticating requests to azure's batch REST interface (php)
WAMP 服務器 PhpMyAdmin 未使用有效憑據進行身份驗證
[英]WAMP server PhpMyAdmin not authenticating with valid credentials
使用服務器進行身份驗證時出錯,但如果我得到答案,則使用 Postman 進行身份驗證
[英]Error authenticating with server, but with Postman if I get an answer
將$ _GET []變量從一台服務器傳遞並保護到另一台服務器
[英]Passing and protecting $_GET[] variables from one server to another
使用php直接在服務器之間對Google Calendar API進行身份驗證
[英]Authenticating Google Calendar API from server to server directly using php
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
保護ajax請求的json生成腳本/處理程序
保護服務器上文件夾中的文件
保護SQL Server專用
使用SOAP PHP對WSDL服務器進行身份驗證
使用.htaccess在Apache服務器上僅允許.json請求
對 azure 批處理 REST 接口 (php) 的請求進行身份驗證
WAMP 服務器 PhpMyAdmin 未使用有效憑據進行身份驗證
使用服務器進行身份驗證時出錯,但如果我得到答案,則使用 Postman 進行身份驗證
將$ _GET []變量從一台服務器傳遞並保護到另一台服務器
使用php直接在服務器之間對Google Calendar API進行身份驗證
相關標簽