php api nur für bestimmte requests freigeben

[tipster]

hi!

ich stehe vor folgendem problem. eine website (client) greift per ajax request auf eine php api zu welche sich am gleichen host befindet. diese api nimmt get/post parameter entgegen und returniert die daten mittels json. gibt es eine möglichkeit diese api für den client der über ajax auf die php api zugreift zu erlauben und zb eine abfrage per normaler url eingabe wie http:// example.com/api.php?daten=bla zu verbieten, sodass man nicht an die retunierten json daten kommt?

danke + lg

 

[alxy]

Naja, es gibt einige Tricks: http://stackoverflow.com/questions/...d-making-sure-request-was-from-my-own-website

Aber "verbieten" im Sinne von "tatsächlich verbieten" geht nicht. Denk drann: Jeder kann header setzen wie er lustig ist ist

 

[tipster]

danke für den tipp. ich habe aufgrund des stackoverflow posts folgendes sample gefunden http://davidwalsh.name/detect-ajax aber wie du eben sagst jeder kann header setzten wie er mag. eine best practice lösung gibts irgendwie nicht oder?

 

[alxy]

Was heißt best practice?

Was istn die "best practice" für rein clientseitige Eingabeprüfung? Richtig, es gibt keine, es ist eifnach ne ****** Idee

 

[ComFreek]

url eingabe wie http:// example.com/api.php?daten=bla zu verbieten, sodass man nicht an die retunierten json daten kommt?

Erfordere einfach einen zusätzlichen POST-Parameter oder steige gleich komplett auf POST seitens der AJAX-Anfrage um.

Ansonsten könntest du in deinen Clients einen bestimmte POST-Parameter verwenden, welcher darüber entscheidet, ob dein Server überhaupt die richtige Daten zurücksendet. Aber das ist eigentlich unnötig. Wenn jemand die Requests abfängt, so wird er auch dies abfangen.

Bedenke: die oben genannten Möglichkeiten bieten keine Sicherheit! Sie verhindern lediglich, dass blutige Anfänger sich an deiner Seite vergreifen, sprich 1%. Alle anderen 99% wissen, wie man Requests kinderleicht im Browser mitschneiden kann.