Ok, die Frage ist nur theoretisch, aber ziemlich einfach, ich möchte nicht, dass Leute Post Request von modifizierten Versionen meiner Module oder jquery $ .ajax Skripte senden. Gibt es bestimmte Techniken, um das zu tun (mod schreibt Konfiguration, .htacces, crc und so weiter)?Wie erlaube ich Postanfragen nur von meinen Seiten?
1
A
Antwort
0
Eine sehr einfache Möglichkeit, eine gängige Praxis zu erklären, besteht darin, dass Sie zu dem Zeitpunkt, zu dem das Formular angefordert wird, eine große Zufallszahl oder Zeichenkette generieren. Dieser Wert wird als Token bezeichnet, und da er nur einmal verwendet wird, wird er oft als Nonce bezeichnet.
Speichern Sie dieses Token in der aktuellen Sitzung auf dem Server und legen Sie es in das Formular als Wert eines ausgeblendeten Felds. Wenn der Benutzer das Formular übermittelt, vergleichen Sie das übergebene Token mit dem gespeicherten Token.
Sie sollten auch die Anforderungsheader überprüfen, um zu überprüfen, ob die Anfrage so aussieht, als käme sie von der rechten Seite.
Verwandte Themen
- 1. Erlaube nur eine Anwendungsinstanz
- 2. IPtables/Wie erlaube ich nur ips in der Whitelist?
- 3. Wie stelle ich den Zugriff auf meinen Webservice nur über meinen Code sicher?
- 4. Wie erlaube ich Querherkunftsanfrage
- 5. Flask und Ajax Postanfragen 400
- 6. OpenShift: Mehrere Postanfragen von Nodejs gefeuert
- 7. .htaccess Erlaube Erweiterung, erlaube keine Erweiterung und erlaube abschließenden Schrägstrich
- 8. Ich erlaube nur authentifizierten Benutzern, auf bestimmte Seiten in django zuzugreifen
- 9. ElasticSearch: Erlaube nur lokale Anfragen
- 10. Erlaube nur meiner Domäne, Bilder von meinem Server zu liefern
- 11. Erlaube nur Lese-/Schreibzugriff für ein Kind
- 12. Muss ich auf allen meinen Seiten `[ValidateAntiForgeryToken] und @ Html.AntiForgeryToken()` verwenden?
- 13. Wie kann ich Solr 5.3.1 nur Admin-Seiten sichern
- 14. Wie erlaube ich den Fernzugriff auf meinen WAMP-Server für Mobile (Android)
- 15. Erlaube nur 1 Wert pro Tastendruck
- 16. Erlaube implizite alle nur für Definitionsdateien
- 17. Swift - Erlaube Rotation auf dem iPad Nur
- 18. Erlaube nur bestimmte Unterverzeichnisse auf .gitignore
- 19. Erlaube JFileChooser, nur ein bestimmtes Dateinamenformat auszuwählen
- 20. fb: Kommentare verschwanden auf all meinen Seiten
- 21. Wie erzwinge ich, dass IntelliJ nur in meinen Quellcode einsteigt?
- 22. Wie erlaube ich unsichere Anfragen in k6s?
- 23. Erlaube Unterverzeichnis Index aber keine anderen Seiten im Unterverzeichnis
- 24. Erlaube dem Benutzer, [Authorize] Seiten zu besuchen - MVC
- 25. Erlaube nur einen Marker in Google Maps
- 26. Devise: Erlaube nur Admin, sich anzumelden
- 27. Erlaube nur iframe Inhalt zu laden
- 28. GenGetOpt - Erlaube nur "--option" und nicht "-option"
- 29. Erlaube nur positive Zahlen in MariaDB-Spalte
- 30. Erlaube nur römische Zeichen in Textfeldern
benötigt etwas mehr Klarheit, aber es scheint ziemlich interessant - sagen Sie basiert auf dem * Code * bestimmte Post-Anfragen ablehnen, die verwendet wurde, um sie zu generieren? –
Nun, ja, zum Beispiel –
Haben Sie über CSRF-Token gelesen/gelesen? – Spacemudd