9
特定のページへの特定のajax呼び出しが認証されたユーザーからのみ受け入れられるようにするためのベストプラクティスは何ですか?例えば認証されたユーザーからの特定のajax要求のみを受け入れる
:
はのは、私は(私が知っている、創造性があふれて)blog.phpと呼ばれるメインページを持っているとしましょう。 delete.phpというページがあり、パラメータpost_idを探して、データベースからいくつかのエントリを削除するとしましょう。
この非常にわかりやすい例では、blog.phpにajax経由でリクエストを送信してdelete.phpにエントリを削除するメカニズムがあります。
このメカニズムは、blog.php上の認証されたユーザーにのみ利用できるようになります。しかし、誰かが乱数の束でdelete.phpを呼び出してサイト内のすべてを削除するのを止めるのはどうですか?
は、私は(それがありませんでした)セッション変数が設定されたりしませ た場合に返すdelete.phpするAJAX呼び出しをblog.phpでセッション変数を設定していた簡単なテストをしました。このようなことを処理するには、どのような方法がありますか?
OK。私はこれを初めて試みたときに狂っていたに違いない。
私は上記のような別のテストを行っただけで、完全に機能しました。