这是我第一次为一个前端项目工作,这个项目需要对Ajax请求进行服务器端身份验证。我遇到了一些我打不到的问题
session_start
作为“目标页面”的起始行,CUZ会给我一个PHP警告:
Warning: session_start() [function.session-start]:
Cannot send session cache limiter -
headers already sent (output started at C:\xampp\htdocs\comic\app\ajaxInsert
Book.php:1)
in C:\xampp\htdocs\comic\app\common.php on line 10
我认为这意味着我必须找到一种方法,而不是检查php会话变量来验证这个php脚本的“调用者”,这是我的方法:
我有一个“受保护”的PHP页面,它必须用作我的javascript的“容器”,通过jquery发布表单。
$.ajax();
方法
在我的“receiver”php脚本中,我得到的是:
define(BOOKS_TABLE, "books");
define(APPROOT, "/comic/");
define(CORRECT_REFERER, "/protected/staff/addBook.php");
function isRefererCorrect()
{
// the following line evaluates the relative path for the referer uri,
// Say, $_SERVER['HTTP_REFERER'] returns "http://localhost/comic/protected/staff/addBook.php"
// Then the part we concern is just this "/protected/staff/addBook.php"
$referer = substr($_SERVER['HTTP_REFERER'], 6 + strrpos($_SERVER['HTTP_REFERER'], APPROOT));
return (strnatcmp(CORRECT_REFERER, $referer) == 0) ? true : false;
}
//http://stackoverflow.com/questions/267546/correct-http-header-for-json-file
header('Content-type: application/json charset=UTF-8');
header('Cache-Control: no-cache, must-revalidate');
echo json_encode(array
(
"feedback"=>"ok",
"info"=>isRefererCorrect()
));
?>
我的代码可以工作,但我想知道这种方法是否存在安全风险?有人能操纵post请求,这样他就可以假装调用方javascript来自“受保护”页面吗?
更新:
刚刚意识到我可以让来自安全页面的javascript根据Ajax请求生成一个唯一的令牌,并使用传递的令牌值来验证它是否是来自安全页面的“真正的Ajax调用”。
这样会更好吗?或者我应该只加密邮件请求的内容吗?
再次更新:
经过两个小时的循环访问所包含的页面,我终于注意到这种奇怪的情况是由我的PHP页面编码引起的…
我试了一下记事本+,不小心选择了带字节顺序标记的UTF-8编码,由于这行的“奇怪”解释,我一直收到警告消息:
对我来说是个好教训…
多亏了任何提示或建议。