PHP是否可以获取到请求的证书,尤其是证书上的网站名称和CA?
我想检查是否只能通过 AJAX 调用从我的网站调用我的 PHP 文件。像这样:
- 用户登录我的网站,然后使用 https 进行后续交互
- 用户加载页面
https://domain/mypage.php https://domain/mypage.php有一个 AJAX 调用https://domain/getinfo.php
在 getinfo.php 中,我想检查请求的证书详细信息,以确保请求是从我的网站发出的,即不是直接点击 URL 或使用抓取工具。
可能吗?
最佳答案
I'm trying to ensure that the calls to my getinfo.php originate from my website and not from someone trying to steal my (very expensive) data by just hitting the URL.
您是说您要确保对getinfo.php 的调用来自正在访问您网站的客户端?这是一个重要的区别。 “您的网站”不会发出请求,访问该网站的客户才是。客户端在发送请求时是否仍然打开您的网站是无法检测到的,每个请求看起来都和其他请求完全一样。
您可以要求客户在请求中发送一个 token ,他在打开您的网站时一定已经获得了该 token 。通常是 cookie 和/或 session ID。没有有效的 cookie/session,您将无法回答客户。
这仍然可以在不实际打开页面的情况下抓取数据,只需发出一个请求获取 cookie,另一个请求获取数据即可。
就所有意图和目的而言,如果 API/站点是公开的,那么数据也是公开的。如果您真的想保护它,则必须要求用户身份验证,并小心将这些帐户提供给谁。这还可以对似乎在抓取您的数据的用户进行审核和可能的禁止。
关于PHP - 检查请求的 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11541952/