Задать вопрос
@Vadim1899

Может ли пользователь отправить ajax-запрос?

Всем привет! Может ли пользователь отправить ajax запрос? Он у меня выполняется по условию if, и может ли пользователь как-нибудь кодом выполнить это условие чтобы отправить ajax?

И как лучше защититься от подобного? Может с как-нибудь с помощью шифрования и ключа? У меня в теории, каждую минуту должен срабатывать ajax-скрипт, и думал зашифровать время через md5, и потом на в php скрипте сравнивать ключи, если все ок, то скрипт выполняется, но когда ajax отправит данные будет одно время (в юниксе), а когда сервер получит данные, время уже будет другое
  • Вопрос задан
  • 81 просмотр
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 3
пользователь может из браузера (на стороне клиента) выполнить все что угодно касательно аякс запросов,но ответ с вашего сервера он подделать не может,зато на клиенте все ,что угодно может.
чтобы что то посоветовать по защите ,нужно знать больше данных,но факт в том что все что хранится на клиенте =не надежным данным,на которые можно полагаться лишь коственно
Ответ написан
Комментировать
Да, пользователь как минимум сможет в консоли нажать "изменить и снова отправить". Шифрование тут никакое не спасет. Вы не сможете никак защитить себя от возможности отправить запрос вручную, любые токены и шифрования будут доступны на клиенте пользователю.

Обычно защищают от неавторизованных пользователей, токеном, который уникален для конкретной сессии. Возможно, вам именно это и требуется.
Ответ написан
Комментировать
ms-dred
@ms-dred
Вечно что то не то и что то не так...
Может конечно, даже если у вас на сервере скрипта не будет, сам напишет свой и отправит.
Защищаться от таких действий надо на стороне сервера проверки делать, копайте в сторону csrf token, он отсекет запросы с чужих доменов и прочее, но и этого недостаточно будет в вашем случае, нужно еще проверки делать, частота обращений с одной сессии, может какой то ключ кодировать и сверять на сервере. Вариантов на самом деле масса, все сугубо индивидуально и возможно какую то жесткую проверку делать не целесообразно.
Я лично стараюсь избегать подобного, смысла нет костыли делать, когда проще ногу вылечить
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы