ajax服務端指令碼防止請求攻擊的方法

關於，防止使用者通過ajax的介面來類比登入或者進行其他方式來進行請求，比如寫了個指令碼或手動不停的請求你這些ajax方法。怎麼樣來防止？

回複內容：

關於，防止使用者通過ajax的介面來類比登入或者進行其他方式來進行請求，比如寫了個指令碼或手動不停的請求你這些ajax方法。怎麼樣來防止？

1. 驗證是否AJAX請求。如PHP代碼：

define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');

（這一步的環境變數可以偽造，但是能過濾掉很多駭（xiao)客(bai)）
2. 頻率限制。針對IP的限制，可以在伺服器層做（Tengine就有這樣的功能）。針對已登入使用者的頻率限制，豆瓣就是這樣做，超出頻率就要輸入驗證碼。
3. csrftoken的方式，個人覺得意義不大。

首先，沒有絕對的方案來杜絕這種情況的發生。

其次，能考慮的方案也無非兩種：
1.驗證來路
2.增加驗證資料（比如類似cookie、hidden input）csrftoken類似與hidden input了。

有些變態會搞驗證碼- -#

