.htaccess只允许通过Ajax和Cron调用php脚本
我需要允许php脚本只通过Ajax和Cron调用,而不是通过浏览器中的地址调用.htaccess只允许通过Ajax和Cron调用php脚本,php,.htaccess,Php,.htaccess,我需要允许php脚本只通过Ajax和Cron调用,而不是通过浏览器中的地址调用 在F12中,所有的php脚本都是可见的,任何用户都可以调用php脚本,如website.com/file.php您不能调用。脚本不知道如何调用它们;他们只知道web服务器调用了它们 web服务器不知道调用的是谁,只知道HTTP或HTTPS端口上有请求(cron CLI是一个例外,请参见下文) 您最多只能验证以下两个标题: HTTP_USER_AGENT either empty or fille
在F12中,所有的php脚本都是可见的,任何用户都可以调用php脚本,如
website.com/file.phpHTTP_USER_AGENT either empty or filled
HTTP_X_REQUESTED_WITH either 'XMLHttpRequest' or not (possibly empty)
UA empty, XRW empty cron or a browser faking cron
UA "Lynx" or "wget", XRW empty cron calling wget or lynx (or curl?)
UA empty, XRW filled some prankster messing with you (*)
UA filled, XRW filled AJAX call
UA filled, XRW empty browser
- 浏览器可以冒充cron(例如,使用ModifyHeaders插件)
- cron可以冒充浏览器(为什么?不知道。但这是可能的)
- 任何人都可以伪造任何东西(例如通过
)curl
HTTP_REMOTE_ADDR
// AJAX calls are only allowed every 600 seconds PER EACH USER
// (you should verify that a login exists)
if (array_key_exists('ajax', $_SESSION)) {
if (time() - $_SESSION['ajax'] < 600) {
return;
}
}
$_SESSION['ajax'] = time();
//每个用户每600秒只允许进行一次AJAX调用
//(您应该验证是否存在登录名)
如果(数组\键\存在('ajax',$\会话)){
if(time()-$\u会话['ajax']<600){
返回;
}
}
$\u会话['ajax']=time();
if (file_exists('call.txt')) {
if ((time() - filemtime('call.txt')) < 600) {
return;
}
}
touch('call.txt');
if(文件_存在('call.txt')){
如果((time()-filemtime('call.txt'))<600){
返回;
}
}
touch('call.txt');
您可能还可以将脚本输出存储在文件中,如果文件不早于给定值,则可以读取该文件的内容。因此,您可以发出一千个AJAX调用,但只有第一个调用将执行任何实际工作-另一个将等待锁定的文件,然后读取缓存副本。这比看起来更复杂,因为需要处理可能几个并行调用之间的竞争条件。可能重复的查看我的问题没有答案。我需要允许Ajax和Cron访问这些文件非常感谢,但我仍然不知道该怎么做)你需要这个检查做什么?是为了安全吗?也许你想达到的目标可以通过另一种方式实现。例如,为什么需要从cron和AJAX访问相同的脚本?看起来很奇怪。所有的.php文件都可以在F12
XHR