Bloqueo de acceso directo a la fuente ajax

Navega tus respuestas
1

Hice una calculadora. Quiero evitar que las personas puedan usar ajax.php para obtener los resultados sin acceder a la página web. Tienen que usar la API para ese propósito.

Supongo que puedo agregar una clave (marca de tiempo codificada con cifrado simétrico) dentro de la página web. Cuando llame al ajax.php, enviaré también la clave. En el lado del servidor, descodificaré la clave, extraeré la marca de tiempo y comprobaré si la clave no se generó hace mucho tiempo.

También puedo generar una clave única dentro de la base de datos.

¿Tienes mejores ideas?

    
pregunta hotips 22.06.2012 - 01:20
fuente

1 respuesta

2

  • También puede usar la funcionalidad de token CSRF disponible en la mayor parte del marco de desarrollo web. CSRF se almacena en los metadatos del encabezado de la página web y se debe enviar a través de cada solicitud ajax. CSRF se asigna cuando el servidor representa una página completa.

    Si el token CSRF no existe en la solicitud ajax, o si CSRF es incorrecto, entonces no procesamos la solicitud. De esta manera, se asegura de que el usuario haya iniciado sesión en la interfaz real.

  • Realice la validación de sesión de cada solicitud ajax.

También puedes usarlos dentro de una llamada a la API.

Aún así, ayudará a proteger de algunos proxies de intercepción web o scripts de cliente web html hechos a medida.

    
respondido por el Kapish M 22.06.2012 - 03:39
fuente

Lea otras preguntas en las etiquetas

¿Cómo haría una lista completa de dominios de Google? [cerrado] Internet Explorer cerrado rastreo privado