我已经多次遇到这个问题并且从来没有想出一个优雅的解决方案,所以我希望我在谷歌搜索时间里错过了它。
情况:我有一个提交数据的AJAX端点。 javascript在我的服务器上托管/生成(想想Google Analytics)。除了从语法上检查它是否是有效的电子邮件地址之外,我无法验证所述数据。我想阻止脚本无休止地调用端点。
尝试过的解决方案/为什么他们不一定会工作:
通过IP限制呼叫/无法始终预测一段时间内的呼叫总数,特别是因为IP可以代理和/或多个人可能在一个IP后面
< / LI>生成令牌/可以直接在源中查看并在重新提交之前简单地删除
$_SERVER['HTTP_X_REQUESTED_WITH'] /完全可欺骗
我没有安全专家,但我知道这是一个容易在需要一定精度的环境中扭曲数据的漏洞。