php – 添加安全层以尽可能地防止AJAX僵化

案件：

我正在使用CodeIgniter(2.1.3)来进行AJAX调用并获取JSON数据.意识到你不能真正“保护”AJAX,因为用户总是可以访问JavaScript,我想知道有什么可能让人们尽可能地让AJAX调用自动化.

假设你有一个游戏,你不断要求建造建筑物和训练部队的队列数据.如果我想要浏览该网站,我可以找出AJAX调用的工作原理并制作一个脚本来自己登录到域并手动调用AJAX调用.

这样做的目的是;可能有10000人尝试对网站进行操作,我将在AJAX调用中构建的阻碍层可能会将10000个减少到100个,从而更容易跟踪仍然设法跨越所有层的管理员.

在这种情况下,我们还可以看到他们正在做什么,并尝试添加更多检查/图层,以防止大多数人能够浏览网站.

确认实际会话

我想到的第一层是将随机哈希传递给加载的页面,并将该哈希存储在PHP Session中.通过这种方式,访问者可以“仅”从获取给单个页面加载的哈希值的AJAX调用中获取JSON.因此,如果他们尝试在一个cURL / wget调用中使用正则表达式匹配来获取HASH,则他们不能在调用中使用它来伪造AJAX调用.

我仍然认为这里有多个页面加载的问题.我可能正在跟踪人们是否在他们的登录名下打开一个新页面并给他们一条消息,他们可能无法在多个页面上操作以使用该应用程序.此外,Selenium等自动化工具也可能存在问题.

在CodeIgniter中我现在这样做：

<?php
public function index()
{
    $this->load->helper(array('security','url'));
    $this->load->library('session');

    $data = array();

    // AJAX Security
    $data['hash'] = sha1(hash('md5',(microtime() - rand(0,1^3)) * rand(0,1^12)));
    $this->session->set_userdata('live_hash',$data['hash']);

    $this->load->view('jqueryjson',$data);
}

public function xhr()
{
    $json_data = json_decode($data_set);

    if (isset($data_set['hash']) AND $data_set['hash'] == $this->session->userdata('hash')) {
        echo 'HASH security layer passed<br />';
        echo json_encode(array('JSONDATA TO BE SEND BACK'));
    }
    else {
        echo 'Please do not call the page outside a browser.';
    }
}
?>

我知道这种方法有点幼稚,但我很想知道其他人如何做到这一点(客户端)以防止大多数僵尸.当然,我还要验证服务器端的所有传递数据,以确保没有数据在数据应该具有的标准之外进行自定义.