发布于 2019-05-31 13:50:58
有点像建议的user3491125,您可以在调用页面中设置$ _SESSION,并在Ajax调用的页面上检查它是否有例如$ _SESSION ['user']设置。
发布于 2019-05-31 14:59:40
您可以手动拒绝其Origin
标头与您的域名不匹配的每个请求。但是,并非所有浏览器都会发送Origin
标头。在这些情况下,您可以回退到Referer
[sic]标题,解析它并查找域名,并将其与上面进行比较。
一些JavaScript框架还X-Requested-With
为AJAX请求设置了标头。
这应该拒绝相当大比例的用户(我估计> 95%)。请注意,由于Same-Origin策略,向您的域发送AJAX请求的人唯一得到的是时间信息。
https://stackoverflow.com/questions/-100001413
复制相似问题