JS скрипт вызывает .PHP файл, а PHP должен понять что обращаются с сервера?

Question

[fastboot]

host/test.php
---
host/index.html JS запускает в фоне /test.php
test.php должен понять что запрос идёт от локальной машины, иначе любой желающий может обращаться к /test.php и получать от скрипта ответ.
---
как называется это защита? как понять эту логику?

Comments

[Дмитрий]

Проверяйте откуда идёт запрос. Локально это 127.0.0.1

[Vitsliputsli]

Локально, это с сервера? Зачем тогда js? У вас сервер это машина на которой вы работаете, т.е. сервер с браузером?

[fastboot]

Vitsliputsli, в браузере вбить /test.php, скрипт должен понять откуда пришёл вызов СЕССИЯ+РФЕРАЛЬНАЯ ссылка, тогда выполняется скрипт

[Дмитрий]

fastboot, и что помешает мне вызвать скрипт с реферальной ссылкой и сессией?

[Виталий Артемьев]

test.php должен понять что запрос идёт от локальной машины

Что здесь значит "от локальной машины"?

[fastboot]

Дмитрий, вот это хороший вопрос

Answer 1

[fastboot]

как вариант $_SERVER['HTTP_REFERER']
но я предполагаю что это слабая защита

Comments

[fastboot]

+передачи с сайта session_id() и в скрипте он отдельно сравнивается

Answer 2

[sasmoney]

возможно оно

$success = 123;
$result = array(
'success' => "$success"
); /* какой-то результат */
if($result == NULL){ /* результат отсутствует */
header("Location: /");
exit();
}else{
echo json_encode($result);
}
?>

Answer 3

[wadowad]

В начале файла test.php разместите следующее:

if (!strstr($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST'])) {
	die();
}

P.S. Просто предупрежу, что на ios в Сафари может работать не так, как задумывалось, например, в рефере могут отсутствовать get параметры.

Answer 4

[Canti]

host/index.html доступен отовсюду? Как вы его открываете?

Может передавать в параметрах token:
host/index.htm?token=secret_token

Этот же токен будет пробрасываться дальше в test.php и там проверятся. Если валидный, то скрипт запускается, если нет то ничего не будет работать.

Answer 5

[Сергей delphinpro]

Никак это не нужно защищать, если ресурс открытый (публичный).
Если же маршрут закрыт авторизацией, то и вопрос отпадает.

Answer 6

[Александр Сисюкин]

Это называется , черт знает что ...

Для того что бы взаимодействовал клиент и сервер передают в заголовках/параметрах_запроса ключ авторизации , далее уже на уровне приложения решаете что делать с этим клиентом , еще можно делать проверку по белому списку ip , для данного случая вам может подойти , то есть если у вас белый ip локальноц машины , то просто разрешите запросы только с нее