在我的网站上,我有一个注册页面,该页面会发出 AJAX 请求来检查用户名输入后是否可用。该文件名为 check.php,与 Registration.php 文件位于同一目录中。当数据发布到 check.php 时,它将在 MySQL 数据库中执行查询并返回使用该用户名找到的用户数量。
如果有人将数据发布到 check.php 文件,他们也会看到结果。我需要以某种方式停止这种情况,我已经阅读了一些我需要“验证”每个请求的答案。这可能是一个非常大的主题,尽管我不太确定要搜索什么才能找到更多相关信息。对每个请求进行身份验证是停止不必要的用户名检查的好方法吗?如果是这样,如果有人能指出我如何做到这一点的正确方向,我将非常感激。
解决方案是在会话中生成唯一的令牌,并将其放置在将包含表单的所有页面中。将此令牌发布到您发出的每个 AJAX 请求上。
这就是所谓的CSRF保护,跨站请求伪造.
您可以添加一个保护层来检查 HTTP 标头中的用户引荐来源网址。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)