Javascript 如何使我的ajax请求更安全？

和你们很多人一样，javascript函数或方法可以通过浏览器地址栏运行。我想通过我应该使用什么样的概念来防止这种情况的发生，因为用户可能不知道在地址栏中运行的函数参数中应该包含哪些内容，并且无法工作

我想使用一个概念，就像推特关注按钮一样。但是如果人们知道具体的事情（身份证，日期等），他们可以通过获得更多的追随者和东西来破解它。我只希望它在被点击时运行

使用程序：PHP、jquery、css 因此，示例可以基于以下内容

谢谢你的帮助。

---

提前感谢。

我认为最好的方法是避免向全局范围添加任何变量

全局无法访问的内容将无法通过页面上的匿名函数、地址栏等访问。如果无法在页面中编写脚本，您应该非常安全

---

除此之外，我认为没有办法阻止用户在地址栏上运行脚本。

简而言之，按照您描述的方式，这是不可能的

• Javascript不能对用户隐藏以防止修改。你所能做的就是这样

javascript函数或方法可以通过浏览器地址栏运行。我想防止这种情况发生

你不能

我想通过我应该使用什么样的概念来防止这种情况的发生，因为用户可能不知道在地址栏中运行的函数参数中应该包含哪些内容，并且无法工作

您可以混淆代码，但这不会阻止代码被反向工程或简单地重写。重要的是HTTP请求，而不是JS请求

我想使用一个概念，就像推特关注按钮一样。但是如果人们知道具体的事情（身份证，日期等），他们可以通过获得更多的追随者和东西来破解它

您需要在服务器上验证发出请求的用户是否允许发出请求。在该特定实例中，您可以通过使用当前登录用户的会话数据来确定哪个用户成为关注者

您还应该实现，以便其他站点无法将用户转发到您的站点

你不能简单地阻止Malory给Alice一些JavaScript，让她放在地址栏中，地址栏将发出请求。这是一种社会工程攻击。不过，浏览器现在正在实施针对它的保护（例如，从地址栏阻止javascript:uri，并让人们改用开发工具）

您可以实现速率限制，这样脚本就不能让用户在短时间内跟随10人

---

您可以让请求是一个需要向不同子域发出完整页面请求的请求，并让该子域将确认请求拉回到原始服务器。由于用户必须与来自两个主机名的数据交互，单个粘贴的脚本将无法完成整个过程（因为存在相同的源策略）。不过，这可能有点过头了。

你永远不应该信任客户端的任何东西。您应该在服务器上验证这样的操作。开发一些简单的客户端到服务器的关系，您不必担心这一点。