Как защитить ajax запрос?

Question

[netz-sanya]

Как защитить ajax запрос, чтобы случайный человек не смог сам отправить запрос?

Comments

[hadra]

Websoket + токен.
Если ajax, то там токен к форме "от чего исходит" записывать его в сессию и уже сверять. На подбор токена уйдет уйму времени. Что в +, можно установить срок действия ключа. Подделать не реально"если нету дыр" и на подбор "нормального токена" достаточно много вр. уйдет. Почитай про защиту php скриптов , межсайтовая подделка запроса и xss тоже игнорировать нельзя.

Answer 1

[Макс]

Не совсем понятно, что вы имеете ввиду. Если речь идет о CSRF-атаках, то генерируйте для каждой пользовательсокй сессии уникальный токен и шлите его вместе с запросом.

Comments

[starosta6123]

Еще дополнительно все делать через https.

Answer 2

[Андрей Унгер]

Отправляйте методом POST. Случайны человек уже не сможет отправить, но чуть более менее грамотный - спокойно. Так что совсем защитить - не получится

Comments

[hadra]

Да можно из консоли. Отправить "разобраться в структуре" и подменить параметр.

Answer 3

[hadra]

Токен если только..

Лучше WebSoket используйте

Answer 4

[Максим Углов]

if($_COOKIE['password']==="мой_супер_секретный_код") {

// делаем что должен делать ajax

}

Ставим себе куку в браузере и работаем.

Это если без авторизации и прочего.

Comments

[hadra]

Если вспомню, то скину обход... Лучше токен.
Но это провернет только любитель, который залипал там где и я)
Проф, думаю что тоже, если располагает минимумом.