artemgh Asked:2022-03-29 23:00:53 +0800 CST2022-03-29 23:00:53 +0800 CST 2022-03-29 23:00:53 +0800 CST PHP在没有明确指定的情况下获取url ajax请求 772 我正在使用 ajax(post) 将数据传递给 php,你能告诉我如何在不明确指定 url 的情况下获取帖子页面的 url 吗? php 1 个回答 Voted Best Answer Borislav 2022-03-30T19:46:13+08:002022-03-30T19:46:13+08:00 我写了一个基于哈希和的解决方案,但是,在这个过程中,我意识到你的问题是它是在这样一个事实的背景下描述的,即我们不能以任何方式信任客户端并确定请求是从我们的客户端发送的,并且里面的数据是可靠的。 我可以假设客户端身份验证存在某些问题,值得朝这个方向研究。例如,基于 JWT 的身份验证系统可以很好地帮助保护客户端-服务器通信。 如果您在客户端验证期间获得适当的安全性,则可以组织以下行为: 第一个请求明确包含 url 并作为响应接收从 url 创建的哈希和(最好使用盐,更多细节在这里)。 第二个请求包含来自第一个请求的数据 + 哈希和。 在这个阶段,服务器获取该值referrer_url并通过相同的散列算法运行它,并检查收到的金额与请求中收到的金额。如果总和相等,那么我们可以确定该值是有效的referrer_url。 在实现所描述的行为时,很难伪造主请求中发送的哈希和,即使您定义了哈希算法,那么您混入的随机盐也将成为绊脚石。 在目标请求中伪造哈希的几种方法之一是能够发送一个完整的假第一个请求,该请求在服务器上得到验证并返回错误 url 的计算量,但这只有在弱客户端身份验证的情况下才有可能。 如果上述理论信息对您来说还不够,请明确描述最低基础设施、身份验证以及您认为没有必要在请求中使用 url 的原因。
我写了一个基于哈希和的解决方案,但是,在这个过程中,我意识到你的问题是它是在这样一个事实的背景下描述的,即我们不能以任何方式信任客户端并确定请求是从我们的客户端发送的,并且里面的数据是可靠的。
我可以假设客户端身份验证存在某些问题,值得朝这个方向研究。例如,基于 JWT 的身份验证系统可以很好地帮助保护客户端-服务器通信。
如果您在客户端验证期间获得适当的安全性,则可以组织以下行为:
referrer_url并通过相同的散列算法运行它,并检查收到的金额与请求中收到的金额。如果总和相等,那么我们可以确定该值是有效的referrer_url。在实现所描述的行为时,很难伪造主请求中发送的哈希和,即使您定义了哈希算法,那么您混入的随机盐也将成为绊脚石。
在目标请求中伪造哈希的几种方法之一是能够发送一个完整的假第一个请求,该请求在服务器上得到验证并返回错误 url 的计算量,但这只有在弱客户端身份验证的情况下才有可能。
如果上述理论信息对您来说还不够,请明确描述最低基础设施、身份验证以及您认为没有必要在请求中使用 url 的原因。