切记必定要防止恶意用户直接访问Ajax请求地址
多年前的一个web项目, 有一个地方是用ajax发送短信验证码, 当时没考虑好, 没判断来路, 这几天被人恶意滥用发送了不少垃圾短信, 投诉到公司来了。 今天一看代码吓出一身冷汗!web
之后必定要记得判断来路, 禁止直接请求Ajax地址。ajax
方式1, 判断来路, 不能为空且必须同是HostUrl spa
if(Request.UrlReferrer!=null && Request.UrlReferrer.Host==Request.Url.Host) { //do.. }
方式2, 判断httpHeaders是否ajax请求code
public static bool AjaxRequest() { string sheader = Request.Headers["X-Requested-With"]; bool isAjaxRequest = (sheader != null && sheader == "XMLHttpRequest") ? true : false; if (isAjaxRequest) return true; else return false; }
相关文章
- 1. 防止恶意解析——禁止经过IP直接访问网站
- 2. web工程禁用HTTP中PUT/ELETE等请求,防止恶意访问
- 3. Discuz!论坛教程之修改admin.php防止直接恶意访问
- 4. 使用fail2ban在nginx上防止恶意的请求
- 5. 防止用户直接访问框架URL的权限控制
- 6. 短信发送接口被恶意访问的网络攻击事件(二)肉搏战-阻止恶意请求
- 7. 使用fail2ban防止ssh恶意攻止
- 8. 关于Laravel 与 Nginx 限流策略防止恶意请求
- 9. js ajax请求防止重复提交
- 10. 防止重复发送 Ajax 请求
- 更多相关文章...
- • 物理地址(MAC地址)是什么? - TCP/IP教程
- • HTTP 请求方法 - HTTP 教程
- • PHP Ajax 跨域问题最佳解决方案
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
