多年前的一个web项目, 有一个地方是用ajax发送短信验证码, 当时没考虑好, 没判断来路, 这几天被人恶意滥用发送了很多垃圾短信, 投诉到公司来了。 今天一看代码吓出一身冷汗!
以后一定要记得判断来路, 禁止直接请求Ajax地址。
方式1, 判断来路, 不能为空且必须同是HostUrl
if(Request.UrlReferrer!=null && Request.UrlReferrer.Host==Request.Url.Host) { //do.. }
方式2, 判断httpHeaders是否ajax请求
public static bool AjaxRequest() { string sheader = Request.Headers["X-Requested-With"]; bool isAjaxRequest = (sheader != null && sheader == "XMLHttpRequest") ? true : false; if (isAjaxRequest) return true; else return false; }