Как разрешить отвечать только аяксу?

Question

[Робот]

Есть страница site.com/response.php на которую приходят get-запросы от ajax
Вопрос: как запретить ей отвечать на любые другие get-запросы кроме моего ajax потому что можно поставить site.com/response.php?id=xx и сделать запрос напрямую.

Посмотрел $_SERVER но не особо понятно по какому именно параметру из имеющихся лучше всего фильтровать запросы...

Comments

[Денис Инешин]

С обычным аякс запросом прилетают еще и все куки, проверьте.

[Робот]

Денис Инешин: а куки чьи будут юзерские? Т.е. всё время разные и важен просто сам факт их существования?

[Денис Инешин]

Не Робот: ну да, запрос не от браузера будет без кук. Попробуйте, может поможет фильтровать.

[Adamos]

Денис Инешин: куки можно и курлом послать

[Робот]

Adamos: Да это понятно заметил что переменные HTTP_X_FORWARDED_PROTO и HTTP_X_REAL_IP есть только при ajax запросе ещё а так HTTP_REFERER будет самым действенным наверное

[Adamos]

Не Робот: Для скрипта на сервере НЕТ разницы в том, кто его запросил. Все, что передает браузер, может передавать и бот. Простыми проверками вы отсеете только ламеров.

Answer 1

[Adamos]

Вариант 1. Формированием уникального ключа на той странице, с которой идет ajax-запрос, и проверкой его в ajax-скрипте.
Вариант 2. Проверкой, посетил ли этот конкретный пользователь ту страницу непосредственно перед тем, как отправлен запрос. Не исключено, что вам достаточно просто убедиться, что пользователь авторизован, чтобы отсеять роботов.
А то, что пришло в скрипт без участия сервера, всегда можно подделать.

Comments

[Робот]

Про ключ немного не понял, ключ в JS я спрятать не могу - он доступен всем, так? Во вторых firebug поймает ключ даже если я его сделаю. Откуда его взять? Авторизация к сожалению не прокатит это для всех доступно будет

[Adamos]

Не Робот: Выдавайте одноразовый ключ, как при смене пароля. Тот, кто получил его на странице - получит ответ по аяксу. Тот, кто придет с ним второй раз - пойдет лесом. Если у вас идут постоянные запросы по аяксу - ну, можно каждый раз сообщать следующий ключ в ответе.

[Adamos]

Главное - вы не пояснили, зачем вам отсеивать другие запросы и какими они должны быть. Универсального-то решения нет, ботописатели на выдумку хитры...
Вариант с уникальным ключом, например, сломается при плохой связи. Один раз не получил ответ от сайта - все, до перезагрузки страницы тебя будет посылать.

[Робот]

Adamos: да не знаю, может я маньяк помешанный на защите )) Ладно попробую так как посоветовали ))

[Adamos]

Не Робот: Под "зачем" имелось в виду не "какой смысл", а конкретная задача, вообще-то. Если вы сами не знаете, зачем это делаете - трудновато будет найти оптимальное решение...

Answer 2

[Elios]

function IsAjax(){
	    return isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&
	        strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest';
	}

Но как метод защиты очень слабый, такие заголовки легко подделываются, нужно еще генерировать CSRF токен хотябы

Comments

[Робот]

Ну если у меня гости имеют право делать такой запрос то я думаю тогда защита бессмысленна