jQuery Ajax数据发布的安全建议？

我正在使用jquery ajax将更新发布回我的服务器。我担心要确保已采取适当的措施，以便只有我的AJAX调用才能发布数据。

我的堆栈是Apache上针对MySQL后端的PHP。

非常感谢您的建议！

---

您的页面中可以进行AJAX调用的任何请求也可以由应用程序外部的人发出。如果操作正确，您将无法确定它们是作为Web应用程序中的AJAX调用的一部分还是通过手动/其他方式进行的。

当您说要确保只有AJAX调用可以发布数据时，我可能会想到两种情况：要么您不希望恶意用户能够发布用于以下目的的数据：干扰其他用户的数据，或者您实际上想将帖子限制在多请求操作的"流程"中。

如果您担心第一种情况(有人向其他用户发布恶意数据/以其他用户身份发布)，则无论您是否使用AJAX，解决方案都是相同的-您只需通过必要的方式对用户进行身份验证-通常通过会话cookie。

如果您担心第二种情况，那么您将必须执行类似的操作，例如在过程的每个步骤中发出唯一令牌，然后将期望的令牌存储在服务器端。然后，在发出请求时，请检查服务器端是否有针对正在执行的操作的相应条目，并且预期的令牌匹配并且该令牌尚未使用。如果不存在，则拒绝请求；如果存在，则将该令牌标记为已使用并处理该请求。

如果您担心的不是这两种情况之一，那么答案将取决于比您提供的更多的细节。

---

使用会话来确保所有Ajax帖子都在经过身份验证的上下文中完成。将您的Ajax代码视为服务器的另一个客户端，可以更轻松地解决身份验证问题。

---