php 怎么用ajax请求,如何使用PHP和jQuery发送安全的AJAX请求

最新推荐文章于 2021-08-05 19:19:39 发布
最新推荐文章于 2021-08-05 19:19:39 发布
阅读量82 收藏
点赞数
文章标签: php 怎么用ajax请求

小编典典

1.检查ORIGIN标头

根据OWASP的指定,这还不够,但建议:

尽管从您自己的浏览器中欺骗任何标头很简单,但除非通过XSS漏洞,否则在CSRF攻击中通常是不可能的。这就是为什么检查标头是CSRF防御中合理的第一步,但是由于它们并不总是存在,因此通常不能单独考虑将其视为足够的防御。

Origin标头被认为有助于防止JSON数据盗用和CSRF攻击。Origin提供的信息(一些上下文请求创建信息)应向Web服务器提供有关请求可信度的提示[…]

检查HTTP_ORIGIN标题可以写成:

header('Content-Type: application/json');

if (isset($_SERVER['HTTP_ORIGIN'])) {

$address = 'http://' . $_SERVER['SERVER_NAME'];

if (strpos($address, $_SERVER['HTTP_ORIGIN']) !== 0) {

exit(json_encode([

'error' => 'Invalid Origin header: ' . $_SERVER['HTTP_ORIGIN']

]));

}

} else {

exit(json_encode(['error' => 'No Origin header']));

}

1.(之二)检查REFERER标头

如果没有Origin头

,请确认Referer头中的主机名与站点的来源匹配。检查引荐是防止嵌入式网络设备上CSRF的一种常用方法,因为它不需要每个用户状态。.这种CSRF缓解方法也常用于未经身份验证的请求[…]

使用来检查,HTTP_REFERER在PHP中也非常简单$_SERVER['HTTP_REFERER'],您可以使用来更新上面的代码。

请务必 始终进行真正的检查:不要只检查 example.com 或 _api.example.com,而不要检查完整的

_api.example.com.hacker.com之 类的来源来欺骗此检查。

2.生成CSRF令牌

简而言之,已经给出了一个专门针对PHP的解释清楚的答案:

生成令牌:

session_start();

if (empty($_SESSION['csrf_token'])) {

$_SESSION['csrf_token'] = bin2hex(random_bytes(32));

}

通过meta(例如Github)将其添加到生成的视图中:

设置jQuery ajax调用以包含此令牌:

$.ajaxSetup({

headers : {

'CsrfToken': $('meta[name="csrf-token"]').attr('content')

}

});

服务器端检查您的AJAX请求:

session_start();

if (empty($_SESSION['csrf_token'])) {

$_SESSION['csrf_token'] = bin2hex(random_bytes(32));

}

header('Content-Type: application/json');

$headers = apache_request_headers();

if (isset($headers['CsrfToken'])) {

if ($headers['CsrfToken'] !== $_SESSION['csrf_token']) {

exit(json_encode(['error' => 'Wrong CSRF token.']));

}

} else {

exit(json_encode(['error' => 'No CSRF token.']));

}

大多数PHP框架都有自己的CSRF实现,或多或少都基于相同的原理。

4.保护您的服务器

5.永远不要相信用户输入

正如@

blue112所说,这是最基本的安全原则之一。

fQ4An.jpg

2020-07-26

Adn无解
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jquery跨域请求示例分享(jquery发送ajax请求)
12-10
jQuery中常用getJSON来调用并获取远程的JSON字符串,将其转换为JSON对象,如果成功,则执行回调函数。原型如下: jQuery.getJSON( url, [data], [callback] ) 跨域加载JSON数据。 url: 发送请求的地址data : (可选) 待发送key/value参数callback: (可选) 载入成功时的回调函数主要用于客户端获取服务器JSON数据。简单示例: 服务器脚本,返回JSON数据: 代码如下:// $.getJSON.php$arr=array(“name”=>”zhangsan”, “age”=>20); $jarr=json_en
jQuery通过AjaxPHP服务端发送请求并返回JSON数据
12-29
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写,同时也易于机器解析和生成。JSON在前后台交互的过程中发挥着相当出色的作用。 服务端PHP读取MYSQL数据,并转换成JSON数据,传递给前端Javascript,并操作JSON数据。本文将通过实例演示了jQuery通过AjaxPHP服务端发送请求并返回JSON数据。阅读本文的读者应该具备jQueryAjaxPHP相关知识,并能熟练运用。 XHTML 张三 <li
jqueryphp传送数据,phpjQuery ajax之间数据传送的方法介绍(附代码)
weixin_28793831的博客
03-13 200
本篇文章给大家带来的内容是关于phpjQuery ajax之间数据传送的方法介绍(附代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。作为一为web开发者,我们不可避免会使用ajax,不刷新状态下提交数据给后台,ajax的不刷新性质极大提高用户的体验。下面是phpajax交互的例子:js代码:$.ajax({type: 'POST',url: 'file-del.php'...
js与jQuery终止正在发送ajax请求的方法
01-19
本文实例讲述了js与jQuery终止正在发送ajax请求的方法。分享给大家供大家参考,具体如下: 核心:调用XMLHttpRequest对象上的abort方法 jqueryajax方法有自己的超时时间设置参数: $.ajax({type:'POST', url:'b.php', data:'', timeout:5000, success:function(){ } }) 同时 1. $.get返回的数据类型是XMLHttpRequest,请参考手册。($.post、$.ajax、$.getJSON、$.getScript也同样) 2. XMLHttpRequest
php发起ajax请求,使用jqueryajax发起访问请求
weixin_31783001的博客
03-10 127
向结口发起请求是开发人员经常要用到的一种获取数据的方式,通过向接口提交数据,再接收接口返回的数据的方法来获取需要的数据。jquery为我们提供了ajax方法来方便我们请求接口。下面我就来想大家介绍一下jqueryajax使用方法。第一步:引用jquery第二步:构造ajax请求请求是我使用的是本地服务器上的文件。$.ajax({url: "http://localhost/sltest/te...
phpjquery ajax请求,jquery ajax请求
weixin_28726871的博客
03-18 203
前面几篇关于 jquery 的分享,都是如何获取页面元素和动态改变属性值,今天给大家分享一下 jqueryajax 请求(也就是我们平时经常说的异步请求)。说一下我对 ajax 请求的理解和使用心得:1、ajax 请求可以无需跳转页面,就请求到某个后端文件,这种方式极大的提高了用户体验度,使用户感觉步骤简便;2、ajax 请求可以使程序员随时请求后端,判断用户输入的数据是否与数据库重复或者随...
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 963
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 447
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
php每次请求制造一个token,php csrf问题,一个请求生成一个csrf key token,但是界面用了两个POST?...
weixin_42494160的博客
03-27 109
没关系的呀,审核的csrf_token 都是session给的,我懂了,您的csrf_token是 放表单里的对吧,您可以放在meta标签里呀,通过ajax提交表单。或者甩在form外面每次异步提交就无所谓了,渲染视图的时候放在meta标签里或者丢出去,异步提交的时候抓回来丢到后端就可以了$.request('post','/reg',{});$.extend({/*** $.ajax请求的封装*...
phpajax请求
swimming_in_IT_的博客
11-09 2174
phpajax请求的时候,网上一般都是如下这个样子: function showHint(str) { if (str.length==0) { document.getElementById("txtHint").innerHTML=""; return; } if (window.XMLHttpRequest)
jQuery通过ajax请求php遍历json数组到table中的代码(推荐)
01-19
html代码(test.html),js在html底部 具体代码如下所示: <!...<... <...test-jquery-ajax-list</title> </head> <body> <th>id <th>name <th>sex <th>time </tabl
phpjqueryajax方法交互,jqueryphpajax的数据交换方式
weixin_35430535的博客
08-05 624
一、前台传递字符串变量,后台返回字符串变量(非json格式)Javascript代码:这里,为了解决Ajax数据传递出现的汉字乱码,在字符串传递之前,使用javascript函数escape()对汉字字符串进行了编码,并且对返回的字符串使用unescape()函数进行解码,使得汉字得以正常显示。当然了,后台PHP代码也添加了头文件,以保证汉字字符串不会出现乱码。各种后台代码解决汉字乱码问题的方式如...
php 使用jquery实现ajax
weixin_30838873的博客
10-22 54
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <script type="text/javascript" SRC="jquery.js"></script> <script> functio...
php应用jqueryajax操作
weixin_30649859的博客
09-17 77
以下是全部代码: <html> <head> <title>jQuery Ajax 实例演示</title> </head> <script language="javascript" src="jquery.js"></script> <script language="j...
如何使用php ajax请求数据,PHP Ajax - 如何发送HTTP请求并显示数据
weixin_29021195的博客
03-11 108
我现在有两个文件。一个是名为“sqltest.php”的api当我在我的服务器上打开时,我得到如下一些API输出:["39","blah"]我的client.php包含jquery ajax代码来接收这些数据并在Web浏览器中正确显示它。 Client example Output: this element will be accessed by jquery and this text rep...
基于TC72(SPI接口)温度传感器、STM32F103C8T6、LCD1602、FREERTOS的温度采集proteus仿真
05-21
spi
ehcache-core-2.6.9.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
netty-transport-native-unix-common-4.1.51.Final.jar
05-21
javaEE javaweb常用jar包 , 亲测可用,下载后导入到java工程中使用
node-v6.14.4-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
原生php ajax post_使用原生ajax发送post请求完整案例
05-31
好的,这是一个使用原生 AJAX 发送 POST 请求的完整案例: HTML 代码: ``` <!DOCTYPE html> 使用原生 AJAX 发送 POST 请求 <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.min.js"> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值