Php 有没有办法安全地知道承载AJAX调用的原始服务器?
假设站点A使用指向服务器B的标准脚本标记嵌入了一个javascript文件。下一个站点A向服务器B上的资源发出JSONP或AJAX请求。服务器B是否确实知道特定的JSONP请求来自站点A上的用户,而不是另一个站点上欺骗其HTTP引用者的用户 我认为存在任何可能性的唯一原因是因为站点A通过嵌入服务器B的javascript开始了通信。在某种程度上,这种原始通信不能作为一种安全握手,允许后续呼叫安全地通过。但是,由于握手是通过不安全的方式进行的,这并不妨碍它充当安全握手 你对如何完成这项任务有什么想法吗?我所能想到的每一个解决方案都被AJAX调用的每一个元素都是伪造的这一概念所打破Php 有没有办法安全地知道承载AJAX调用的原始服务器?,php,javascript,ajax,jsonp,Php,Javascript,Ajax,Jsonp,假设站点A使用指向服务器B的标准脚本标记嵌入了一个javascript文件。下一个站点A向服务器B上的资源发出JSONP或AJAX请求。服务器B是否确实知道特定的JSONP请求来自站点A上的用户,而不是另一个站点上欺骗其HTTP引用者的用户 我认为存在任何可能性的唯一原因是因为站点A通过嵌入服务器B的javascript开始了通信。在某种程度上,这种原始通信不能作为一种安全握手,允许后续呼叫安全地通过。但是,由于握手是通过不安全的方式进行的,这并不妨碍它充当安全握手 你对如何完成这项任务有什么想
我读过,但据我所知,他们专注于确保用户的真实性,而不是推荐人的真实性 Ajax over https如果您想要配置您的服务器,您可以这样做。Ajax over https如果您想要配置您的服务器,您可以这样做。您可以使用它来验证源代码 在页面加载时,从random生成X倍散列,并使用初始请求(脚本标记)发送最后一个散列,例如散列[100]。每下一个请求都使用哈希[Last-1]发送 在服务器B上,检查哈希(resieved_hash)是否与上一个相同。您可以使用它来验证来源 在页面加载时,从random生成X倍散列,并使用初始请求(脚本标记)发送最后一个散列,例如散列[100]。每下一个请求都使用哈希[Last-1]发送
在服务器B上,检查哈希(resieved_hash)是否与上一个相同。这意味着客户端将负责创建哈希值。既然我没有对客户端的控制权(只有JS),我就不必在客户端存储加密函数,从而消除所有安全优势。另外,既然握手是通过AJAX进行的,那么它如何帮助我验证原始网页的真实性呢?首先是误解问题。没有对站点A的控制,就没有安全的方法。通过最小化请求中的代码和随机名称,您可以更难做到这一点。这意味着客户端将负责创建哈希值。既然我没有对客户端的控制权(只有JS),我就不必在客户端存储加密函数,从而消除所有安全优势。另外,既然握手是通过AJAX进行的,那么它如何帮助我验证原始网页的真实性呢?首先是误解问题。没有对站点A的控制,就没有安全的方法。通过最小化请求中的代码和随机名称,您可以做得更难。。