您页面中的AJAX调用可以发出的任何请求也可以由应用程序外部的人发出。如果操作正确,您将无法确定它们是来自Web应用还是通过手动/其他方式进行的AJAX调用。
当您说要确保只有AJAX调用可以发布数据时,我可能会想到两种情况:一种是您不希望恶意用户能够发布会干扰另一种数据的数据。用户数据,或者您实际上想将帖子限制在多请求操作的“流程”中。
如果您担心第一种情况(有人向其他用户发布恶意数据/以其他用户身份发布),则无论您是否使用AJAX,解决方案都是相同的-
您只需通过必要的方式对用户进行身份验证-通常是通过会话进行曲奇饼。
如果您担心第二种情况,那么您将必须执行一些操作,例如在流程的每个步骤中发出唯一令牌,并将预期令牌存储在服务器端。然后,在发出请求时,请检查服务器端是否有针对正在执行的操作的相应条目,并且预期的令牌匹配并且该令牌尚未使用。如果没有,则拒绝该请求;如果存在,则将该令牌标记为已使用并处理该请求。
如果您担心的不是这两种情况之一,那么答案将取决于比您提供的更多的细节。
