Jaka jest najlepsza praktyka zapewniająca, że niektóre wywołania ajax na określone strony są akceptowane tylko od uwierzytelnionych użytkowników?Przyjmowanie tylko niektórych żądań ajaxowych od uwierzytelnionych użytkowników
Na przykład:
Powiedzmy, że mam stronę główną o nazwie blog.php (wiem, kreatywność obfituje). Powiedzmy też, że istnieje strona o nazwie delete.php, która wyszukuje parametr post_id, a następnie usuwa jakiś wpis z bazy danych.
W tym bardzo wymyślnym przykładzie na blog.php znajduje się mechanizm, który wysyła żądanie przez ajax do delete.php w celu usunięcia wpisu.
Teraz ten mechanizm będzie dostępny tylko dla uwierzytelnionych użytkowników na blog.php. Ale co ma powstrzymać kogoś od zwykłego wywoływania delete.php z mnóstwem losowych liczb i usuwania wszystkiego ze strony?
Zrobiłem szybki test, gdzie ustawić zmienną sesji w blog.php a następnie zrobił ajax wywołanie delete.php powrót czy zmienna sesji został ustawiony lub nie (nie było).
Jaki jest akceptowany sposób radzenia sobie z takimi rzeczami?
OK. Musiałem być szalony za pierwszym razem, gdy próbowałem tego.
Po prostu wykonałem kolejny test podobny do tego, który opisałem powyżej i działał idealnie.