Ok, die Frage ist nur theoretisch, aber ziemlich einfach, ich möchte nicht, dass Leute Post Request von modifizierten Versionen meiner Module oder jquery $ .ajax Skripte senden. Gibt es bestimmte Techniken, um das zu tun (mod schreibt Konfiguration, .htacces, crc und so weiter)?Wie erlaube ich Postanfragen nur von meinen Seiten?
Eine sehr einfache Möglichkeit, eine gängige Praxis zu erklären, besteht darin, dass Sie zu dem Zeitpunkt, zu dem das Formular angefordert wird, eine große Zufallszahl oder Zeichenkette generieren. Dieser Wert wird als Token bezeichnet, und da er nur einmal verwendet wird, wird er oft als Nonce bezeichnet.
Speichern Sie dieses Token in der aktuellen Sitzung auf dem Server und legen Sie es in das Formular als Wert eines ausgeblendeten Felds. Wenn der Benutzer das Formular übermittelt, vergleichen Sie das übergebene Token mit dem gespeicherten Token.
Sie sollten auch die Anforderungsheader überprüfen, um zu überprüfen, ob die Anfrage so aussieht, als käme sie von der rechten Seite.
benötigt etwas mehr Klarheit, aber es scheint ziemlich interessant - sagen Sie basiert auf dem * Code * bestimmte Post-Anfragen ablehnen, die verwendet wurde, um sie zu generieren? –
Nun, ja, zum Beispiel –
Haben Sie über CSRF-Token gelesen/gelesen? – Spacemudd