これはAjaxの良いセキュリティ実践ですか？現代のURLのパターニング（パススタイル）で

Question

は、私は3つの要求を作ります：

1. /ハロー - エンドユーザーに利用できるようになります
2. /函 - サーバー上のAJAXハンドラになります-a/helloによって開始されます。
3. /getresults - 直接アクセスまたはAjaxアクセスでは使用できませんが、利用可能になり、このスクリプトからの応答は「ローカルサーバーアクセス」から利用可能になります。たとえば/ getdataで定義されたcURLでアクセスし、/ getdataから特定のヘッダーを送信するなど、アクセスの安全性を確保するためです。

これは単なる私の理論ですが、私はそれが可能であることを知っていますが、私はこの "ajax-security-approach"について何を考えているのでしょうか？あなたの他のサブリクエストを「隠す」方法など、何か？

私はまだこれをしていないが、私は私の計画のリストにこれを持っている。

Answer 1

のコメント：

あなたが唯一のXMLHttpRequestリクエストのは、それらにアクセスできることを意味し、直接アクセスを経由してそれらをunaccessable作るのあなたのAjaxリクエストについてどう思いますか？

nope：このようには動作しません。どんなAjaxリクエストも偽装するのは簡単ではないので、リソースをAjaxリクエストに対してのみ利用可能にする方法はありません。すべてのリクエスト（Ajaxを含む）は依然としてクライアントのIPから発信され、信頼することはできません。

/getresultsに機密データが含まれている場合、適切な保護が必要です。ログイン機能を介して。