javascript - 仅从此ajax调用php脚本

标签 javascript php jquery

我尝试用谷歌搜索我的问题,但我什至不知道如何确切地提出我的问题:当用户在我的网站上执行一个特定事件时,我想调用此函数,这会增加其他用户的信用一个mysql数据库:

function incrasecredit(){
   $.ajax({
     type: "POST",
     url: "/increasecredit.php",
     data: {},
     success: function(html) {
     }
    }); 
   }

...简单。问题是(正如脚本名称所示)该事件与“信用系统”/金钱相关。所以我想它应该是安全的。用户不应以任何其他方式访问“/increasecredit.php”。例如。只需通过浏览器执行即可。仅在这种特殊情况下,当我在 jquery 脚本中调用它时。更准确地说,当用户点击 iframe 时,应该执行 incrasecredit() 。并且仅在这种情况下。如何防止该脚本以错误的方式执行?我尝试用 token 解决它,但还没有弄清楚。我有一种感觉,我没有看到更大的图景。提前致谢。

最佳答案

您应该在您的页面上实现 CSRF token ,以检查请求是否通过合法机制源自您的网站。这归结为使用 POST 请求传递一个仅供使用的 token ,该请求需要与针对用户 session cookie 存储的 token 相匹配。该 token 也应该在一段时间后自动过期。

此外,后端应该实现某种ACL来授权交易。可以通过经过身份验证的用户的 session 检查用户的 Angular 色。

关于javascript - 仅从此ajax调用php脚本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41324162/

相关文章:

jquery - 为什么我不能使用 jQuery 按 id 过滤元素?

jquery - 当我在 jQuery 中打开其他 Accordion 项时,如何使同级展开项折叠?

javascript - 在 Internet Explorer 上获取 csv 数据失败

php - 如何使用 php 将两个不同的复选框值插入到一个 mysql 表的不同列中?

jquery - 动态显示另一个div中div的内容

php - 随机图像显示

php - 将图像从表单上传到文件系统

javascript - 在函数中将 JavaScript 数组中的所有数字转换为小数点后两位

javascript - 如何使用 Google Analytics 确定客户所在的国家/地区?

javascript - 添加另一个验证以使数据配对工作