パワーユーザーが私のajax関数を呼び出さないようにするにはどうすればよいですか？

Ajax呼び出しを使用して多くの機能を実行するサイトがあります。彼らはスクリプトへのwebbrowserコールバックを持っています-ajax.php。投稿データを使用してデータを送信し、ajaxスクリプトが呼び出すことができるコマンドを制限しますが、ユーザーがサイトを操作しようとするためにajax呼び出しをスプーフィングすることを妨げるものは何もありません。ユーザーが通話をスプーフィングするのを防ぐ包括的な方法はありますか？ajax呼び出しが実際に他のスクリプトやサイトからではなく、私のWebサイトから来ることを保証する方法はありますか？

または、PHPスクリプトで境界条件を確認し、ユーザーが許可されていないことをスプーフィングするのを防ぎ、許可されている場所をスプーフィングすることを許可する必要があります。

送信する可能性のある情報は、ユーザーの巧妙さに応じてなりすましされる可能性があるため、これを確実に行う方法はないと思います。

あなたのページからではない人の単純なブロックが必要な場合は、リファラーを確認するか、Cookieを使用するか、一定時間後に期限切れになる呼び出しページから送信されるランダムな非表示フィールドを追加します。しかし、ユーザーが本当に決心している場合、これらは簡単になりすますことができます。

要するに、いいえ。GETまたはPOSTを介してURLに行われた要求は、任意のソフトウェアを使用する誰でも行うことができます。実際、AJAXリクエストはURLを直接ロードすることと実際に違いはありませんが、後者では、返されたデータがWebページのようにブラウザに表示されます。

これがまさに、JavaScript検証を行うかどうかにかかわらず、サーバー上で送信されたデータを常に検証する必要がある理由です。

サーバー側のスクリプトが何をしていて何がうまくいかないかは明確ではありませんが、ユーザーが不正なデータでスクリプトを呼び出すことで「サイトを操作する」ことができる場合、それは間違っています。

おそらく最良の解決策は、何らかの形式の認証を導入することです。

それで、基本的にajax.phpをAJAXリクエストにのみ応答するように制限したいですか？

私はphpのエキスパートではありませんが、の値をチェックすることで、特定のリクエストがAJAXからのものか「通常の」ブラウザリクエストからのものかを判断できるようです$_SERVER['HTTP_X_REQUESTED_WITH']。

ソース

他の誰かが指摘したように... ajax呼び出しは単なる$ _GETまたは$ _POSTの受信者であるため、私のアプローチは常にアクションページと同じように扱い、入力をフィルタリング/サニタイズすることでした。たとえば、月のように期待するもののわずかなバリエーションがあり、それが常に「1月、2月、3月...」形式であることがわかっている場合は、期待値の配列を設定し、それに対してフィルタリングできます。一致しないものはすべてトラップし、オプションで「Bzzt ... thanks for playing ...」のようなものをスローします。

私のAjaxスクリプトがフォーム送信よりも安全である必要がある例は考えられません。

HTH

ソリューションの主な部分は、特定のユーザーフィンガープリントからのトラフィックをレート制限することです。たぶん、IPアドレスのハッシュ、ユーザーエージェント文字列、および送信されるデータ。

また、ajaxを呼び出すページをajaxが返すデータに密接にバインドすることも役立ちます。そのため、問題のページでは、ページの読み込み時にXセッションに適したセッションキーを送信します。各ajaxリクエストに対して、JavaScriptはそのキーを返す必要があります。そうしないと、ajaxはエラーを返します。ページがX+1ajaxコールにヒットしたら、ユーザーに新しいセッションキーを送信する前に（元のajaxの帯域外で）何らかのアクション（UAに応じたイベントmousemoveやtapイベントなど）を強制してから再起動しますプロセス。

私が考えているように、おそらくあなたの問題の一部は送信されたパラメータの緩い検証である可能性があります。送信されたパラメータを使用して有効なデータを取得するだけで済む場合は、その作業を難しくします。その方法は、クライアントが送信する値の種類と、悪い値を送信することで悪役がどのような悪戯をするかによって異なります。