У меня есть default.asp, и он связывается с 3 различными * .asp через ajax. Мой вопрос заключается в том, что человек пытается выполнить эти * .asp-страницы без доступа к default.asp, если люди пытаются открыть эти страницы в качестве URL-адреса. http://sample.com/ajax1.asp?get=foo - пример того, как можно предотвратить такой доступ к моим страницам ajax.ajax security, предотвращающий доступ к url через браузер
ответ
Вы можете обнаружить, если вызов является запрос AJAX ищет заголовок HTTP_X-Requested-With
, но даже если вы можете обнаружить вызов AJAX, вы должны проверить подлинность всех запросов, поскольку злоумышленник может подделать все заголовки легко.
детектировани заголовка AJAX:
If Request.ServerVariables("HTTP_X-Requested-With") = "XMLHttpRequest" Then
''do stuff
Else
Я пробовал это, но Request.ServerVariables («HTTP_X-Requested-With») не работал. Из этого всегда не получается. Я видел во многих случаях php и asp.net. Однако ваша рекомендация об аутентификации будет полезной для меня благодаря. ps: Если вы найдете способ обнаружить, я буду рад. –
Заголовок добавляется большинством фреймворков Javascript, таких как jQuery. Как вы делаете звонки AJAX? –
Раствор добавления жирная линия для Ajax запросов.
function callit()
{
if(window.XMLHttpRequest){xmlhttp=new XMLHttpRequest();}else{xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");}
xmlhttp.onreadystatechange=function(){if(xmlhttp.readyState==4&&xmlhttp.status==200){document.getElementById('alp').innerHTML=xmlhttp.responseText;}}
xmlhttp.open("get", "call.asp", true);
**xmlhttp.setRequestHeader("X-Requested-With","XMLHttpRequest");**
xmlhttp.send();
}
- 1. Доступ к экрану через браузер
- 2. Spring не позволяет пользователю получить доступ к URL через браузер и ajax
- 3. Заблокировать доступ к веб-сайту через браузер
- 4. HTML5: сервер, предотвращающий доступ к видеофайлам
- 5. Доступ к графическому процессору через веб-браузер
- 6. Как получить доступ к приложению через браузер?
- 7. Доступ к меню настроек через браузер
- 8. Доступ к файлам temp coldfusion через браузер
- 9. Доступ к концентратору SignalR через браузер
- 10. Безопасный доступ к Elasticsearch через браузер
- 11. Доступ к веб-сервисам через AJAX?
- 12. , предотвращающий несанкционированный доступ к веб-приложению
- 13. uiwebview, предотвращающий доступ к кнопкам на uitoolbar
- 14. доступ к серверу через url в браузере
- 15. Доступ к mysql через URL-адрес
- 16. Доступ к относительным URL-адресам через «ajax» из содержимого «file: //»
- 17. Доступ к функции класса PHP через AJAX
- 18. jQuery setInterval, предотвращающий async ajax calls
- 19. Доступ к пользователю через Ajax в Laravel
- 20. Запретить доступ файлов через браузер
- 21. , предотвращающий новый запрос ajax, когда старый выполняется.
- 22. Ключ CodeIgniter, предотвращающий вызовы AJAX
- 23. CSS3, предотвращающий событие AJAX click
- 24. Ajax Security
- 25. Доступ к мобильному серверу Oracle Database через веб-браузер
- 26. Запретить пользователям получать доступ к веб-странице через веб-браузер?
- 27. Spring Security анонимный пользователь имеет доступ к каждому URL-адресу
- 28. доступ к веб-службам не достигается через браузер
- 29. Доступ к определенной вкладке через URL-адрес
- 30. Прямой доступ к области через URL-адрес
Возможно, вы могли бы объяснить, почему (при прочих равных условиях) доступ к этим страницам asp будет нарушением безопасности при доступе к default.asp? – AnthonyWJones