difendere una pagina PHP dalla chiamata diretta

[jomla]

Ciao a tutti
vorrei sapere perfavore quale ritenete che sia la miglior difesa di una pagina php dalla chiamata diretta.
Ho infatti alcune pagine che vengono chiamate per mezzo di ajax ma che non devono rispondere se chiamate direttamente
Grazie

[boots]

Puoi fare cosi:

Codice PHP:

if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&  strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest'){
      // Chiamata Ajax
}else{
     // Non Ajax
} 


C'è da dire che non è infallibile, infatti dipende se il framework che usi per fare la richiesta aggiunge l'header HTTP_X_REQUESTED_WITH (la maggiorparte si)

[las]

Ciao a tutti
vorrei sapere perfavore quale ritenete che sia la miglior difesa di una pagina php dalla chiamata diretta.
Ho infatti alcune pagine che vengono chiamate per mezzo di ajax ma che non devono rispondere se chiamate direttamente
Grazie

Non capisco l'utilità, cosa impedisce all'attacante di costruirsi una chiamata ajax e richiamarla tramite ajax? la vera difesa dovrebbe essere che la pagina non da risposte senza sapere a chi le sta dando .... a prescindere dal modo in cui gliele chiede.

[jomla]

Non capisco l'utilità, cosa impedisce all'attacante di costruirsi una chiamata ajax e richiamarla tramite ajax? la vera difesa dovrebbe essere che la pagina non da risposte senza sapere a chi le sta dando .... a prescindere dal modo in cui gliele chiede.

quindi tu cosa faresti?
Grazie

[Alhazred]

Per esempio puoi controllare da che indirizzo arriva la richiesta con $_SERVER['HTTP_REFERER']

[las]

quindi tu cosa faresti?
Grazie

Dipende da che cosa deve fare la pagina, comunque in linea generale metterei dei controlli che mi garantiscano che l'informazione venga inviata a un utente loggato e a nessun altro, a prescindere dal modo in la chiede.