有兩台伺服器，怎樣合理而又安全的提供給使用者操作呢？

有A、B兩台伺服器

• A、B兩台伺服器都對外開放提供瀏覽
• A伺服器對外提供有限制的操作，B伺服器不對外提供任何操作
• 使用者可以在A伺服器上通過POST向B提交請求進行處理

問題：B如何判斷接收到的請求是一個正常的請求

我想過這麼幾個情況

• 通過IP判斷，可以偽造
• 來路判斷，可以偽造
• post一個欄位帶有加密驗證，直接瀏覽器查看請求的欄位就破解了

回複內容：

有A、B兩台伺服器

• A、B兩台伺服器都對外開放提供瀏覽
• A伺服器對外提供有限制的操作，B伺服器不對外提供任何操作
• 使用者可以在A伺服器上通過POST向B提交請求進行處理

問題：B如何判斷接收到的請求是一個正常的請求

我想過這麼幾個情況

• 通過IP判斷，可以偽造
• 來路判斷，可以偽造
• post一個欄位帶有加密驗證，直接瀏覽器查看請求的欄位就破解了

產生一個隨機的token，給B

B每次發post請求的時候都要在header裡攜帶這個token， A server 要驗證請求裡是否是正確的token

1. 不要使用root許可權(包括你的web服務軟體，資料庫)
2. 對於不合法的操作自動跳轉
3. 關閉檔案執行與寫入許可權，盡量唯讀
4. 使用者輸入的合法性驗證。
   例如：文本xss過濾.資料庫查詢項是否可以使用%00截斷繞過，是否可以使用;繞過進行多語句查詢

other:如果你使用的是商業or開源系統記得使用第三方服務。（安全寶）

