切记一定要防止恶意用户直接访问Ajax请求地址

最新推荐文章于 2021-08-05 19:50:01 发布
最新推荐文章于 2021-08-05 19:50:01 发布
阅读量426 收藏 2
点赞数
文章标签: javascript 前端 ViewUI
原文链接:http://www.cnblogs.com/jackrebel/p/4277190.html
版权

 多年前的一个web项目, 有一个地方是用ajax发送短信验证码, 当时没考虑好, 没判断来路, 这几天被人恶意滥用发送了很多垃圾短信, 投诉到公司来了。  今天一看代码吓出一身冷汗!

  以后一定要记得判断来路, 禁止直接请求Ajax地址。

 

 方式1, 判断来路, 不能为空且必须同是HostUrl  

if(Request.UrlReferrer!=null && Request.UrlReferrer.Host==Request.Url.Host)
{
  //do..
}

 

方式2, 判断httpHeaders是否ajax请求

public static bool AjaxRequest()
 {
            string sheader = Request.Headers["X-Requested-With"];
            bool isAjaxRequest = (sheader != null && sheader == "XMLHttpRequest") ? true : false;
            if (isAjaxRequest) 
                return true;
            else
                return false;
}

 






转载于:https://www.cnblogs.com/jackrebel/p/4277190.html

anpeng9657
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP中如何防止外部恶意提交调用ajax接口
10-22
本文简单介绍如何防止外部恶意调用ajax接口,以达到节省流量,减轻服务器压力的目的。
防止ajax贪婪提交php,PHP中如何防止外部恶意提交调用ajax接口
weixin_42365234的博客
03-25 505
PHP中如何防止外部恶意提交调用ajax接口我们自己网站写好的ajax接口,如果给自己用,那就限定一下来路域名,判断一下来路即可。注意:将www.jb51.net替换成你自己的域名。复制代码 代码如下://判断来路if(!isset($_SERVER['HTTP_REFERER']) || !stripos($_SERVER['HTTP_REFERER'],'www.jb51.net')) {ec...
php 防止 ajax 攻击,php – 如何防止自动AJAX攻击
weixin_42524165的博客
04-11 187
只要浏览器处于打开状态就可以让会话保持打开状态,这就是自动攻击的问题.不幸的是,刷新每个页面加载的令牌只会阻止大多数业余攻击者.首先,我假设我们正在讨论专门针对您网站的攻击. (如果我们谈论的是那些只是漫游并提交各种形式的机器人,这不仅会阻止它们,而且还有更好,更简单的方法.)如果是这样的话,那我就是针对我的网站,这是我的机器人会做的事情:>加载表单页面.>在表单页面上读取令牌.&gt...
ajax如何防止数据盗用,Ajax如何防止数据盗用?
weixin_39878698的博客
08-05 477
方法如下:服务器生成一个token(比如 md5(key+ip+date),这个规则只有管理员知道)与html一起下发给用户,然后由用户浏览器发起ajax请求,同时附加之前服务器生成的token,服务器判断来源网站域名+token正确后给用户发回数据。1、前端显示页面的时候后端输出一个唯一的签名;2、Ajax前端发起请求到后端获取数据时需传递效验参数,后端再效验签名不知道这个思路能否满足你的需...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
10-23
在程序项目中经常看到ajax post数据到服务器没有加上防伪标记,导致CSRF被攻击,下面小编通过本篇文章给大家介绍ajax中要带上AntiForgeryToken防止CSRF攻击,感兴趣的朋友一起学习吧
使用CDN和AJAX加速WordPress中jQuery的加载
11-22
【使用CDN和AJAX加速WordPress中jQuery的加载】 在WordPress中优化jQuery的加载速度对于提升网站用户体验至关重要。首先,我们应该避免在`<head>`部分加载JavaScript文件,特别是像jQuery这样的大型库。这样做可能...
做网站切记投机真实点击创造真实排名最终版.pdf
最新发布
11-17
做网站切记投机真实点击创造真实排名最终版.pdf
敏捷开发用户故事系列(一-三)
02-01
全系列将涉及何为用户故事,面向客户价值编写故事,用户建模,产品待开发项的分类,...角色切记不要总是写“作为一个用户”,而是要把用户区别对待。这样才能更好地理解他们使用什么功能,如何使用,为何使用。比如“作
php防用户恶意请求,如何更好地保护来自恶意用户的php、jquery和ajax请求
weixin_39602108的博客
04-05 350
你需要做的是攻击一些特定类型的攻击。即使对于非常引人注目的网站,这通常也足够了。对于一个不是最大网站之一的网站来说,这些东西应该足以阻止脚本孩子们。跨站点请求伪造:从本质上来说,这就是你在最初的帖子中想要指出的。正如您所指出的,这种攻击所需要的要么是找出可以执行某些用户特定操作的URL,然后直接调用它。或者,更难防范的是,通过欺骗登录用户单击一个链接来执行特定于该用户的操作。第一种可以通过用会话密...
警惕:AJAX程序容易遭受到新型攻击
weixin_34004576的博客
03-16 154
作者:freedom   来源:赛迪网 由于受到Web 2.0利益的推动,AJAX(同步JavaScript技术和XML)正吸引着全球企业的眼球。 AJAX是逐渐普及的一个主要原因是其所使用的脚本语言,即JavaScript,它可带来许多利益:动态表单可包含内置的错误检查,页面计算区域,动态更改背景、文本颜色或按钮、读取URL历史并针对其采取行动,...
ios开发防止App被抓包(一句话实现iOS应用底层所有网络请求拦截(如ajax请求拦截),包含http-dns解决方法,有效防止DNS劫持,用于分析http,https请求,禁用/允许代理,防抓包)
qq_38836717的博客
10-14 1987
ZXRequestBlock github地址 安装 通过CocoaPods安装 pod 'ZXRequestBlock' 手动导入 将ZXRequestBlock拖入项目中。 导入头文件 #import "ZXRequestBlock.h" 使用方法 拦截全局请求 [ZXRequestBlock handleRequest:^NSURLRequest *(NSURLRequest *r...
Request获取url信息的各种方法比较 及 Request.UrlReferrer详解
秀出自己的风采
12-14 2901
if (Request != null && Request.UrlReferrer != null && Request.UrlReferrer.PathAndQuery != null)             {                 string previousURL = Request.UrlReferrer.PathAndQuery;             }
Request.UrlReferrer与Request.Url中的属性的使用
学者-微风
08-21 1280
1、由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer(Self) 当前页面:值为null {http://localhost:3961/WebForm1.aspx} AbsolutePath: "/WebForm1.aspx" AbsoluteUri: "http://localhost:3961/WebForm1.aspx" Authority: "localhost:3961" DnsSafeHost:
Request.UrlReferrer 同Request.Url获取数据
疯狂的冰冰
10-08 782
由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer  当前页面:值为null {http://localhost:3961/WebForm1.aspx}     AbsolutePath: "/WebForm1.aspx"     AbsoluteUri: "http://localhost:3961/WebForm1.as
Request获取url信息的各种方法比较 及 Request.UrlReferrer详解
01-04 5891
本页地址:   Request.URL;       上页地址:     Request.UrlReferrer     Request.ServerViables["http_referer"]     Request.RawUrl     Request.RawUrl.QueryAndPath     System.IO.Path.GetFileName(Request.FilePath.To
ajax打开新页面被拦截,Ajax打开新窗口被浏览器拦截的两种解决办法
weixin_42148975的博客
08-05 569
最近在做支付时发现打开支付窗口时被浏览器拦截了,百度了一下才发现是因为打开窗口前用ajax验证是否能支付,所以不是用户主动触发的打开ixin窗口,浏览器认为这样不安全,所以给拦截了。解决办法一先开始打开一个空的新窗口,然后改变新窗口的url,具体代码为var wd = window.open();$.ajax({type: "POST",dataType: "json",url: URL,data...
前后端数据对接防止接口被恶意调用
热门推荐
偶尔一节
04-19 2万+
最近做了个不大点的微信活动,上线之后,出现了无穷尽的微信刷子,这些刷子的openid都不一样,昵称也格式相似,通过记录IP发现,IP都是相同的,一个IP有上千个微信用户,我很是费解,不知道现在是不是有什么黑科技可以伪造这点了;我先说下我的流程 1,用户授权,session记录用户openid 2,用户参加活动,完成活动一系列指定操作,完成活动,将用户信息录入数据库 3,用户完成活动,分享朋友
如何防止模拟的http的恶意请求
mituan1234567的专栏
04-02 1万+
http://www.dewen.io/q/5511 我有一串URL www.abc.com?para=xxx  在页面中点击按钮后用ajax执行此URL后,后台会执行一些操作,页面通过ajax的响应结果继续完成接下来的操作。这里是没登录的情况下,没有用户标志这种session的。  但是如果遇到懂程序的人,如果发现了这个接口的调用方法,就可以使用一些Http模拟提交的工具来请求这个
RTU-307F 用户手册
05-07
RTU-307F 用户手册

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值