Chống flood hiệu quả khi sử dụng ajax

**longvnit** · 11-04-2011 15:10

Chỉ có Captcha thôi, chứ dùng HTTP_REFERER thì có thể làm giả được, dùng token thì cũng bypass qua một cách đơn giản nếu flooder lưu lại session.

**VnVision** · 11-04-2011 15:33

- referer có thể giả mạo một cách đơn giản.
Ngoài ra có những ng dùng cài addon để ngăn gửi referer header vì mục đích bảo vệ tính riêng tư.

- tạo token ko phải là cách chống flood, chỉ là biện pháp chống cross-site request forgery thôi.

Ko hiểu sao nhiều ng nhầm lẫn việc check referer/token với việc chống flood.

**bka** · 11-04-2011 17:53

Được gửi bởi VnVision

- referer có thể giả mạo một cách đơn giản.
Ngoài ra có những ng dùng cài addon để ngăn gửi referer header vì mục đích bảo vệ tính riêng tư.

- tạo token ko phải là cách chống flood, chỉ là biện pháp chống cross-site request forgery thôi.

Ko hiểu sao nhiều ng nhầm lẫn việc check referer/token với việc chống flood.

không phải mọi người hiểu sai mà chủ topic nêu title một đàng hỏi một nẻo , ghi là chống flood mà hỏi về cái ý là referer

**trunghieuhf** · 11-04-2011 22:36

Ở đây các thao tác gửi dữ liệu mình đều thực hiện với user đã login nên chắc dùng session để check là chống được resubmit và giới hạn được thời gian post giữa 2 lần rồi.
Còn dùng $_SERVER['HTTP_X_REQUESTED_WITH'] thì ko biết đã chắc chắn chặn được việc giả form html để post dữ liệu từ ngoài ko.
Còn nếu tạo token thì cũng không chắc, vì người dùng có thể đăng nhập, rồi lấy mã token đưa vào form giả rồi submit thì vẫn được, tất nhiên họ chỉ làm đc 1 lần và bắt buộc phải reset lại form để lấy token khác, nhưng họ đã qua được việc check dữ liệu đầu vào.

**VnVision** · 11-04-2011 23:04

Được gửi bởi trunghieuhf

Ở đây các thao tác gửi dữ liệu mình đều thực hiện với user đã login nên chắc dùng session để check là chống được resubmit và giới hạn được thời gian post giữa 2 lần rồi.
Còn dùng $_SERVER['HTTP_X_REQUESTED_WITH'] thì ko biết đã chắc chắn chặn được việc giả form html để post dữ liệu từ ngoài ko.
Còn nếu tạo token thì cũng không chắc, vì người dùng có thể đăng nhập, rồi lấy mã token đưa vào form giả rồi submit thì vẫn được, tất nhiên họ chỉ làm đc 1 lần và bắt buộc phải reset lại form để lấy token khác, nhưng họ đã qua được việc check dữ liệu đầu vào.

Bạn cứ lý luận như là đúng rồi, trong khi kiến thức cơ bản thì bị hổng, chỉ dựa trên chút hiểu biết rồi suy diễn thì chả đi đến đâu. Nói cho bạn hiểu thì cũng đc thôi nhưng ko ai rảnh mà giải thích hết mọi thứ đâu. Thay vì hỏi ng khác sao ko thử bắt tay vào làm thực tế, chỉ có thực tế mới là ng thầy chỉ dẫn tốt nhất.

**redhill** · 11-04-2011 23:21

Được gửi bởi trunghieuhf

Còn nếu tạo token thì cũng không chắc, vì người dùng có thể đăng nhập, rồi lấy mã token đưa vào form giả rồi submit thì vẫn được, tất nhiên họ chỉ làm đc 1 lần và bắt buộc phải reset lại form để lấy token khác, nhưng họ đã qua được việc check dữ liệu đầu vào.

Vào site của bạn post thẳng cũng mất 1 lần, ko vào site của bạn post cũng chỉ được 1 lần. Nếu là bạn thì bạn có mất công viết riêng file chỉ để post từng bài viết riêng lẻ ko?

**trunghieuhf** · 11-04-2011 23:36

Được gửi bởi redhill

Vào site của bạn post thẳng cũng mất 1 lần, ko vào site của bạn post cũng chỉ được 1 lần. Nếu là bạn thì bạn có mất công viết riêng file chỉ để post từng bài viết riêng lẻ ko?

Bạn nói thế là chưa đọc kỹ rồi, ở đây tất nhiên là thao tác như nhau, nhưng nếu mình làm trên site của mình thì có thể check được giới hạn ký tự, không cho phép phải nhập 1 số ký tự,... Còn nếu viết 1 file riêng thì sẽ qua mặt được check javascript. Ý là vậy.

**redhill** · 11-04-2011 23:44

Được gửi bởi trunghieuhf

Bạn nói thế là chưa đọc kỹ rồi, ở đây tất nhiên là thao tác như nhau, nhưng nếu mình làm trên site của mình thì có thể check được giới hạn ký tự, không cho phép phải nhập 1 số ký tự,... Còn nếu viết 1 file riêng thì sẽ qua mặt được check javascript. Ý là vậy.

Hix..vậy nếu bạn dùng PHP ko thể check được những cái đó hả? Cho dù người khác có viết gì chăng nữa cũng phải submit qua file của bạn để insert vào dữ liệu, bạn ko thể kiểm tra tại file đó? Vậy nếu mình viết 1 form submit thẳng vào file đấy thì sao, bạn lấy gì kiểm tra?

**trunghieuhf** · 11-04-2011 23:45

Được gửi bởi VnVision

Bạn cứ lý luận như là đúng rồi, trong khi kiến thức cơ bản thì bị hổng, chỉ dựa trên chút hiểu biết rồi suy diễn thì chả đi đến đâu. Nói cho bạn hiểu thì cũng đc thôi nhưng ko ai rảnh mà giải thích hết mọi thứ đâu. Thay vì hỏi ng khác sao ko thử bắt tay vào làm thực tế, chỉ có thực tế mới là ng thầy chỉ dẫn tốt nhất.

Đúng là kiến thức của mình còn thiếu sót nhiều chỗ, nhưng ở đây mình đâu có suy diễn, và đã thao tác thực tế rồi mới đưa ý kiến để tìm cách khắc phục thôi. Ví dụ như $_SERVER['HTTP_X_REQUESTED_WITH'] mà bạn nói, mình đã áp dụng thử và đã chặn được post từ form html tự tạo, nhưng do chưa hiểu rõ nên ko biết nó có check tốt trên mọi trình duyệt,... nên mới hỏi thôi. Chứ không phải là lười không chịu tìm hiểu. Bạn thông cảm.

[=========> Bổ sung bài viết <=========]

Được gửi bởi redhill

Hix..vậy nếu bạn dùng PHP ko thể check được những cái đó hả? Cho dù người khác có viết gì chăng nữa cũng phải submit qua file của bạn để insert vào dữ liệu, bạn ko thể kiểm tra tại file đó? Vậy nếu mình viết 1 form submit thẳng vào file đấy thì sao, bạn lấy gì kiểm tra?

À không, trong php mình cũng có check lại 1 lần nữa chứ.

**redhill** · 11-04-2011 23:52

Vậy thì bạn đã trả lời câu hỏi của chính bạn rồi.

Được gửi bởi trunghieuhf

Bạn nói thế là chưa đọc kỹ rồi, ở đây tất nhiên là thao tác như nhau, nhưng nếu mình làm trên site của mình thì có thể check được giới hạn ký tự, không cho phép phải nhập 1 số ký tự,... Còn nếu viết 1 file riêng thì sẽ qua mặt được check javascript. Ý là vậy.

Vậy thì vấn đề lại quay lại:

Được gửi bởi redhill

Vào site của bạn post thẳng cũng mất 1 lần, ko vào site của bạn post cũng chỉ được 1 lần. Nếu là bạn thì bạn có mất công viết riêng file chỉ để post từng bài viết riêng lẻ ko?

Chủ đề: Chống flood hiệu quả khi sử dụng ajax

Hỗ trợ

Rate This Thread

Bookmarks

Bookmarks

Quy định