|
joomba,
Расскажите чуточку подробнее о своем проекте, и в чем его специфика, что вы так опасаетесь левых запросов от пользователей.
Для любого проекта, с точки зрения здравого смысла и безопасности, посылка самостоятельного AJAX-запроса не должна давать пользователю сделать что-то, что он не может с помощью UI.
То есть, если например в UI контролируются его права, и выводятся толь ко общие сообщения(/chat.php) и его приват (/chat.php?id=123), то права пользователя на чтение конкретного привата должны задаватся не только в UI, но и со стороны сервера.
Ну, и также, если UI хороший, то у пользователя не должно возникать искушения сделать что-то прямым запросом.
То есть если какое-то частое действие запрятано в вашем UI, в тридевятой вкладке, и добратся туда можно только через 17 кликов, то это плохой интерфейс, и пользователь вполне может захотеть его не использовать.
В общем, если у вас удобный UI, и безопасные проверки на сервере, то вам незачем беспокоится, что кому-то захочется так сделать. а тем, кому захочется, все арвно они никак не навредят
|