Thực tiễn tốt nhất để đảm bảo rằng các cuộc gọi ajax nhất định đến các trang nhất định chỉ được chấp nhận từ người dùng đã được xác thực?Chỉ chấp nhận một số yêu cầu ajax từ người dùng đã được xác thực
Ví dụ:
Hãy nói rằng tôi có một trang chính gọi blog.php (Tôi biết, sự sáng tạo đầy dẫy). Hãy cũng nói rằng có một trang được gọi là delete.php tìm kiếm thông số post_id và sau đó xóa một số mục nhập từ cơ sở dữ liệu.
Trong ví dụ rất giả tạo này, có một số cơ chế trên blog.php gửi yêu cầu qua ajax tới delete.php để xóa một mục nhập.
Bây giờ, cơ chế này sẽ chỉ khả dụng cho người dùng được xác thực trên blog.php. Nhưng những gì để ngăn chặn một người nào đó từ chỉ cần gọi delete.php với một loạt các số ngẫu nhiên và xóa tất cả mọi thứ trong trang web?
tôi đã làm một thử nghiệm nhanh nơi tôi thiết lập một biến session trong blog.php và sau đó đã làm một cuộc gọi ajax để delete.php trở lại nếu biến phiên đã được thiết lập hay không (nó không).
Cách được chấp nhận để xử lý loại điều này là gì?
OK. Tôi phải điên lên lần đầu tiên tôi thử điều này.
Tôi vừa thực hiện một thử nghiệm khác như thử nghiệm mô tả ở trên và nó hoạt động hoàn hảo.