Javascript 仅接受服务器获取请求
我正在使用AJAX+JS向我的服务器发出GET请求。我使用它来删除文件,如下所示:Javascript 仅接受服务器获取请求,javascript,php,ajax,.htaccess,get,Javascript,Php,Ajax,.htaccess,Get,我正在使用AJAX+JS向我的服务器发出GET请求。我使用它来删除文件,如下所示: delete.php?file_id=0123456789&user=555555 当我发送GET request delete.php时,它将删除ID为0123456789的文件,但是否有办法只接受服务器向自身发出的请求 例如,如果用户打开新选项卡并键入www.mysite.com/delete.php?file_id=0123456789服务器将拒绝该请求,但如果我使用JS函数调用它,服务器将接受该
delete.php?file_id=0123456789&user=555555
当我发送GET request delete.php时,它将删除ID为0123456789的文件,但是否有办法只接受服务器向自身发出的请求
例如,如果用户打开新选项卡并键入
www.mysite.com/delete.php?file_id=0123456789
服务器将拒绝该请求,但如果我使用JS函数调用它,服务器将接受该请求 使用X-XSRF-TOKEN怎么样
结合角JS
这将要求您的Web应用程序生成并检查此令牌,但您的AJAX请求将经过身份验证。使用
GET
进行请求是非常容易被利用的。如果我将一个1x1像素图像请求侵入到您的页面,并传递一个文件名,该怎么办?您永远不会注意到您只是发送了一个删除某些内容的请求……AJAX请求来自浏览器(客户端),而不是服务器本身。POST也是不安全的。您应该添加某种身份验证,每个用户只允许删除自己的东西。JS是客户端,您使用JS的每个解决方案都可以被想要做非法事情的用户模仿。检查是否允许当前用户删除服务器端的文件。您需要确定用户是否有权删除文件。