Drupal Ajax：通过URL传递值 vs 数据参数

Question

Drupal Ajax：通过URL传递值 vs 数据参数

3

使用以下两种方式有什么区别：

 $.ajax({
  type: 'POST',
  url: Drupal.settings.basePath + 'module/get/' + node,
  dataType: 'json',
  data: { 'ajax' : true }
 });

对比：

 $.ajax({
  type: 'POST',
  url: Drupal.settings.basePath + 'module/get',
  dataType: 'json',
  data: { 'ajax' : true, 'node' : node }
 });

在第一种情况下，您将在回调函数中将节点变量作为参数访问，在第二种情况下，您将使用$ _POST ['node']进行访问，对吗？第二种方法总是更好，但我看到很多人都是用第一种方法。并不是说第二种方式更安全。仍在研究表单令牌，但首先要弄清楚这个基本点。

另外，对于情况1，假设此ajax由按钮触发，如何阻止人们直接输入网址mysite/module/get/20并激活它？只需检查$ _POST ['ajax'] == true是否足以解决这个问题？还是那里仍然存在安全漏洞？

- Wade

你能解释一下为什么你认为第二种方法总是更好吗？ - marcvangend

我曾认为这种方式会更好，因为它不会在URL中暴露参数。现在我明白了两种方式都很有用。 - Wade

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Henrik Opel · Accepted Answer

乍一看没有实际区别：

假设您的“node”变量只是一个节点id，那么两者之间没有太大区别。从语义上讲，它们似乎都执行了“获取”操作（尽管它们在技术上是post请求），因为它们仅检索数据而不更改服务器上的任何状态（好吧，这是另一个假设）。

就安全性而言，也没有相关差异-两者都可以轻松“伪造”，区别仅在于与“标准”GET vs. POST辩论相同，即除了第一个将参数稍微更加“可访问”外，因为它们在URL中是明文显示的。

但在Drupal中有一个“方便”的差异：

在Drupal中，经常遇到第一个版本，因为它可以利用Drupal 6中引入的通配符加载器参数功能。假设您的回调URL在hook_menu中定义如下：

$items['module/get/%node'] = array(
'title' => 'Foo',
'type' => MENU_CALLBACK,
'page callback' => 'yourModule_callback',
'page arguments' => array(2),
);

通过这样做，当传入nid时，yourModule_callback()将被调用，它的第一个参数已经是完全加载的节点对象，因为%node告诉Drupal在将参数交给回调函数之前执行node_load()。使用你示例的第二个版本，回调函数必须自己加载节点对象，从POST数据中提取它后。

所以这里是一种方便的方式。

此外，在Drupal中常见的模式是在AJAX请求和非JavaScript“回退”替代方案中使用相同的回调URL。因此，当调用yourModule_callback()时，它首先可以对传入的节点执行其预期操作，基本上组装其结果。完成后，它只检查POST数据中是否有$ajax == TRUE。如果有，它知道结果是针对AJAX请求的，因此可能将结果输出为JSON。如果没有，它知道正在进行完整的页面循环，并可以相应地调整其输出（例如重新构建表单、重新生成整个页面等）。

这样，您不必为您的非AJAX / AJAX回调注册单独的URL。