Как обезопасить файл от прямого доступа?

Question

[cannabioid1337]

У меня есть скрипт браузерного JS на AJAX. В котором он обращается к условному "chat.php", как сделать так, чтобы к данному файлу нельзя было перейти напрямую, а только через JS?

Comments

[FanatPHP]

никак
учите что такое НТТР.

[Сергей Соколов]

Покажите JS код обращения

Answer 1

[Надим]

Установите пароль, чтобы доступ был только если совершен POST-запрос с паролем.

Comments

[FanatPHP]

Ну вы же уже раз 5 отвечали на этот вопрос
и знаете прекрасно, что он не про пароль
а про нелепые страхи "прямого доступа"

зачем предлагать решение несуществующей проблемы?
РНР во всём мире презирают из-за таких вот решений - возьмем несуществующю проблему и наворотим ненужного кода, чтобы её решить

[Надим]

FanatPHP, я кстати, предложил плохой вариант. По идее POST запрос можно отправить и без JS, на голом HTML просто используя <form></form>, а вот если для идентификации использовать какой-нибудь редко используемый PUT/DELETE/TRACE запрос, то наверное такой запрос уже можно использовать для подтверждения факта того, что запрос сделан при помощи JavaScript. Впрочем, не понимаю зачем это вообще может пригодится.

[Дмитрий]

Надим Закиров, все можно подделать

[Надим]

Дмитрий, вопрос то не в подделке, автор хочет, чтобы при прямом заходе с браузера висела пустая заглушка.

[Дмитрий]

Надим Закиров, да дело не в заглушке скорее всего, а типо чтоб информацию не грабили, ну и параноя

Answer 2

[nokimaro]

Как запретить доступ юзеру к ajax?

Answer 3

[Сергей Соколов]

Несколько идей, по мере усложнения:

1. Оставить эту затею. Всё, что так или иначе передаётся в браузер, можно получить и в обход замысла разработчика.
   
   
2. Перейти на HTTP POST запрос. При GET-запросе того же URL (открыли в браузере прямо /chat.php – возвращать заглушку, или, лучше, редирект на главную.
   
   
3. При обращении из JS добавлять HTTP-заголовок. В chat.php проверять его наличие.
   
   
4. При загрузке страницы создавать-передавать с сервера уникальный идентификатор сессии. Его использовать в заголовке ajax-запросов и проверять в chat.php
   
   
5. Перейти на WebSocket: всё-таки чат должен быть в реальном времени )