質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
XHR

XHR(別名XMLHttpRequest)はJavaScriptなどのスクリプト言語を使ってサーバーとHTTP通信を行うAPIを指します。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

3回答

718閲覧

JavaScript XHRでデータの取得元を外部から遮断する方法は

退会済みユーザー

退会済みユーザー

総合スコア0

XHR

XHR(別名XMLHttpRequest)はJavaScriptなどのスクリプト言語を使ってサーバーとHTTP通信を行うAPIを指します。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

1グッド

1クリップ

投稿2020/11/29 00:41

JavaScriptのXHRを使ってデータの更新を行っています
データの取得元への直アクセスを遮断する方法をお聞きしたいです

取得元であるa.phpにはリファラによる制限とXHR経由か判定する処理を入れました
とりあえず自サイト外からの直アクセス、XRH経由でないアクセスを遮断する策はできました(どちらも偽装はできてしまいますが)

これである程度満足はできたつもりでしたが、
ブラウザ(Firefox)の開発ツールのネットワークに出てくるログのURLから普通にアクセス可能であるということが判明しました
他サイトを見るとネットワークにログを出さず外部からデータ通信を行ってるのは、
node.jsなど使われてるのだと思いますが、
XHRを使ってる以上、外部から見れなくする事は不可能でしょうか
何か知識をお持ちであれば教えていただけませんでしょうか

a.php <?php if(strstr($_SERVER['HTTP_REFERER'],"domain.com")){ if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { echo "外部から見られたくないデータ"; }else{ echo "見ないで下さい"; }else{ echo "見ないで下さい"; } ?>

XHR

1<script> 2window.onload=function(){ 3x=new XMLHttpRequest() 4x.overrideMimeType("text/plain; charset=shift_jis"); 5x.onreadystatechange = function () { 6if (x.readyState == 4 && x.status == 200) { 7alert(x.responseText); 8} 9} 10x.open("POST", "a.php", true); 11x.setRequestHeader('X-Requested-With', 'XMLHttpRequest'); 12x.send(); 13} 14</script>
miyabi_pudding👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

XHRを使ってる以上、外部から見れなくする事は不可能でしょうか

はい、ブラウザという外部からのアクセスを行わせています。

投稿2020/11/29 01:14

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/11/29 10:01

回答ありがとうございました!
guest

0

ベストアンサー

開発ツールのネットワークに出てくるログのURLから普通にアクセス可能である

開発者コンソールは、成功した通信のヘッダ情報をそのまま再送します。

node.jsなど使われてるのだと思いますが

完全な遮断を実現しているサイトを見つけているのであれば、ステートフルな手法を活用しているのでしょう。
一回限りのトークンをセッションに持たせると再要求時にエラー等を返却することも一応は可能です。
ただし、サーバー負荷、メンテナンス等、実用面では高コストになるため、ステートレスなサーバー運用が一般的です。

XHRを使ってる以上、外部から見れなくする事は不可能でしょうか

ステートレスなサーバー運用では不可能です
(ご質問のコードでは withCredentials を利用していないことから、ステートレスな環境と分かります)。

投稿2020/11/29 07:34

AkitoshiManabe

総合スコア5432

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/11/29 10:00

>完全な遮断を実現しているサイトを見つけているのであれば、ステートフルな手法を活用しているのでしょう。 完全な遮断というのは、ネットワークに通信ログ自体が出ませんがリアルタイムに通信しているサイトです Twitterなんかも、これにあてはまりませんか? 私には手が出ない技術なようなので、あきらめます 回答ありがとうございました
AkitoshiManabe

2020/11/29 10:12

Twitter は、シンプルなHTTP通信(1回限りのリクエストと応答)を行うステートフルなサーバー運用とは言い切れません。リアルタイムな画面更新機能もあるためWebSocketの活用も考えられます。 正直、どのようなサーバー構成なのかは断言できません(ソケット通信は接続の確立/遮断をもjavascriptで制御しており、接続中のメッセージのやり取りを応用した設計になるので、ソースコードを確認できる関係者以外には難解な「もっと複雑なこと」をやっていると思います)。
guest

0

XHRを使ってる以上、外部から見れなくする事は不可能でしょうか

不可能です。
なので、API側で、見られたくない処理は全て完結し(DB処理など)、
フロントエンド側には、その結果のみを返す、といった組み方が必要になります。

投稿2020/11/29 03:29

miyabi_takatsuk

総合スコア9528

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/11/29 10:01

回答ありがとうございます。 応用で、どこまでできるか挑戦してみたいと思います
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問