PHP - 如何检查请求是否针对 JS worker
PHP - How to check if request is for JS worker
在为 referrer-policy 和谷歌搜索、DuckDucking 和 StackOverlow-searching 咨询了 MDN 之后,也许你能帮我解决这个相当简单(但虚幻)的问题?
处理流程
- 浏览器向服务器发出请求
- 基于HTTP_REFERERheader,服务器决定响应
但是为什么呢? (你问)
这是一套精心设计的安全检查的一部分,在这种情况下,决定客户端是否可以访问请求的文件 FUBU(由我们提供)。
如果缺少 referer,这将不起作用,但是当 JavaScript 为指定的工作人员发出请求时 - referer (request-header) 确实不见了。
我尝试过但失败了
- 为每个请求设置
Referrer-Policy: same-origin
- 设置适当的 CORS headers
Access-Control-Allow-Headers: x-requested-with - 响应每个请求。
问题
如何确定请求是针对 JS 工作文件,还是强制 HTTP 机制按其应有的方式运行?
想出"the box"
由于 "seems" 无法以 "good" 的方式做到这一点,人们总是可以运用一点点创造力来实现特定的结果。
简单回顾一下:
- 要求 是要有一种方法来识别从何处发出请求
- 这可以在每次
Worker 调用时手动实现,也可以自动实现
- 任何安全问题似乎在别处处理
- 在调用时改变
Worker URL 可能有助于自动处理
可行的解决方案
这是一个包装器,可用于 "hijack" 某些 class 调用或方法:
const hijack = function(driver,victim,jacker)
{
if(((typeof driver)=='string')&&!victim){return this.plan[driver]}; // recap
if(victim in this.plan){return}; // only jack once? .. less cruel
this.plan[victim]={victim:driver[victim],jacker:jacker}; // plan the heist
let con = {enumerable:false,configurable:false,writable:false,value:function()
{
let car=hijack((this.mask||this.name||this.constructor.name)); let m=this.mask;
let arg=car.jacker.apply(null,arguments); if(!Array.isArray(arg)){arg=[arg]};
if(!m){return new (Function.prototype.bind.apply(car.victim,[null].concat(arg)))()}
else{return car.victim.apply(this,arg)};
}};
try{con.value.prototype = Object.create(driver[victim].prototype)} // blend in
catch(oops){Object.defineProperty(driver,'mask',{value:victim});}; // recover
Object.defineProperty(driver,victim,con);
}.bind({plan:{}});
... nail meets hammer
工作原理
- 它有 3 个参数:
driver~包含目标的对象function/methodvictim~要拦截的function/method的名称jacker ~ 回调函数 - 用于 relay/change 参数
- 原方法复制到可以使用或后续调用的地方
- 回调强加(废除)原始参数并且可以在调用者和被调用者之间传递不变的参数(与原始参数完全一样),但现在您可以控制它是如何发生的(如果有的话)以及传递的内容;要么有一些简单的条件,要么有一些精心设计的方案 (a.k.a "evil plan")
- 为了简单起见,这段代码(上面)只允许每个
victim 进行 1 次拦截,但这可以扩展为多次拦截;通过 "chain-relay" (回调数组)或 "event-dispatcher + event-listener combo(s)".
如何使用
具体问题:
hijack(window,'Worker',function(arg){return `${arg}?worker=true`});
为了解决评论中的安全问题,api-key 可能会有用;因此,如果一些 string 被传递给当前会话(或客户端)唯一的 运行 实例(浏览器或服务器),它就足够了,例如:
hijack(window,'Worker',function(arg){return `${arg}?worker=${window.ApiKey}`});
.. 其中 ApiKey 被全局定义为 string,但它也可以是函数调用的结果 - 从 cookie 或任何一个中获取它。
有用的工具
这也可用于增强安全性。如果您担心来自 devtools 的 XHR 请求甚至更糟:eval() - 然后你可以使用这个 hijack 全局拦截那些 calls/invocations。
例如:
hijack(URL,'createObjectURL',function(arg){console.log(arg); return `whatever`});
如果您打算将其用作安全工具,那么它需要一些带有 "call-stack back-trace"、"mutation-observer" .. 和一小撮(暗)物质的薄层色谱图 (:
免责声明
在这次演习中没有人受伤..受害者没事..请自行决定使用
在为 referrer-policy 和谷歌搜索、DuckDucking 和 StackOverlow-searching 咨询了 MDN 之后,也许你能帮我解决这个相当简单(但虚幻)的问题?
处理流程
- 浏览器向服务器发出请求
- 基于HTTP_REFERERheader,服务器决定响应
但是为什么呢? (你问)
这是一套精心设计的安全检查的一部分,在这种情况下,决定客户端是否可以访问请求的文件 FUBU(由我们提供)。
如果缺少 referer,这将不起作用,但是当 JavaScript 为指定的工作人员发出请求时 - referer (request-header) 确实不见了。
我尝试过但失败了
- 为每个请求设置
Referrer-Policy: same-origin - 设置适当的 CORS headers
Access-Control-Allow-Headers: x-requested-with- 响应每个请求。
问题
如何确定请求是针对 JS 工作文件,还是强制 HTTP 机制按其应有的方式运行?
想出"the box"
由于 "seems" 无法以 "good" 的方式做到这一点,人们总是可以运用一点点创造力来实现特定的结果。
简单回顾一下:
- 要求 是要有一种方法来识别从何处发出请求
- 这可以在每次
Worker调用时手动实现,也可以自动实现 - 任何安全问题似乎在别处处理
- 在调用时改变
WorkerURL 可能有助于自动处理
可行的解决方案
这是一个包装器,可用于 "hijack" 某些 class 调用或方法:
const hijack = function(driver,victim,jacker)
{
if(((typeof driver)=='string')&&!victim){return this.plan[driver]}; // recap
if(victim in this.plan){return}; // only jack once? .. less cruel
this.plan[victim]={victim:driver[victim],jacker:jacker}; // plan the heist
let con = {enumerable:false,configurable:false,writable:false,value:function()
{
let car=hijack((this.mask||this.name||this.constructor.name)); let m=this.mask;
let arg=car.jacker.apply(null,arguments); if(!Array.isArray(arg)){arg=[arg]};
if(!m){return new (Function.prototype.bind.apply(car.victim,[null].concat(arg)))()}
else{return car.victim.apply(this,arg)};
}};
try{con.value.prototype = Object.create(driver[victim].prototype)} // blend in
catch(oops){Object.defineProperty(driver,'mask',{value:victim});}; // recover
Object.defineProperty(driver,victim,con);
}.bind({plan:{}});
... nail meets hammer
工作原理
- 它有 3 个参数:
driver~包含目标的对象function/methodvictim~要拦截的function/method的名称jacker~ 回调函数 - 用于 relay/change 参数
- 原方法复制到可以使用或后续调用的地方
- 回调强加(废除)原始参数并且可以在调用者和被调用者之间传递不变的参数(与原始参数完全一样),但现在您可以控制它是如何发生的(如果有的话)以及传递的内容;要么有一些简单的条件,要么有一些精心设计的方案 (a.k.a "evil plan")
- 为了简单起见,这段代码(上面)只允许每个
victim进行 1 次拦截,但这可以扩展为多次拦截;通过 "chain-relay" (回调数组)或 "event-dispatcher + event-listener combo(s)".
如何使用
具体问题:
hijack(window,'Worker',function(arg){return `${arg}?worker=true`});
为了解决评论中的安全问题,api-key 可能会有用;因此,如果一些 string 被传递给当前会话(或客户端)唯一的 运行 实例(浏览器或服务器),它就足够了,例如:
hijack(window,'Worker',function(arg){return `${arg}?worker=${window.ApiKey}`});
.. 其中 ApiKey 被全局定义为 string,但它也可以是函数调用的结果 - 从 cookie 或任何一个中获取它。
有用的工具
这也可用于增强安全性。如果您担心来自 devtools 的 XHR 请求甚至更糟:eval() - 然后你可以使用这个 hijack 全局拦截那些 calls/invocations。
例如:
hijack(URL,'createObjectURL',function(arg){console.log(arg); return `whatever`});
如果您打算将其用作安全工具,那么它需要一些带有 "call-stack back-trace"、"mutation-observer" .. 和一小撮(暗)物质的薄层色谱图 (:
免责声明
在这次演习中没有人受伤..受害者没事..请自行决定使用