我使用我的JavaScript客户端(例如foo.js
)在服务器中(例如bar.php
)调用我的php Ajax代码。这在大多数情况下都能正常运行,但是偶尔我会返回HTTP 403(禁止访问),而不是通常的200(确定)。使用完全相同的代码,相同的参数等会发生这种情况。
为什么会这样呢?我该如何解决?我的bar.php
代码内部是否有动作,这有可能发生吗?如何记录原因?foo.js
客户端:
function postAjax(url, queryString, callback) {
var x = new XMLHttpRequest();
x.onreadystatechange = function() {
if (x.readyState === 4) { // 4=after HTTP response content finished loading
if (x.status === 200) callback(true, x.responseText);
else callback(false, x.status);
}
};
x.open('POST', url, true);
x.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
x.setRequestHeader('Content-type','application/x-www-form-urlencoded');
x.send(queryString);
}
var params = 'aaa=xxx&bbb=yyy';
postAjax('bar.php', params, myCallback);
function myCallback(ajaxStatus, ajaxResponse) { /* do something */ }
bar.php
服务器:<?php
header('Content-Type: text/plain');
$isAjax = isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest';
if ($isAjax) {
/* Do something with $_POST['aaa'] and $_POST['bbb'] */
echo 'Success';
}
else {
echo 'Error';
}
?>
附加新信息:
浏览器控制台(在此示例中为Firefox):
当一切都好时(大部分时间):
+ POST http://example.com/bar.php 200 OK ZZZms
发生错误时(例如,在我第七次尝试之后):
+ POST http://example.com/bar.php 403禁止X ZZZms
然后在ajaxResponse中返回403,它来自x.status
在Firefox控制台中展开“ +”,我看到响应:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /bar.php
on this server.</p>
<p>Additionally, a 404 Not Found
error was encountered while trying to use an ErrorDocument to handle the request.</p>
</body></html>
查看Apache Raw Accwss日志(通过cPanel),我看到了所有类似的POST行,在第7个测试中,其状态从200更改为404:
<my IP> - - [17/Jan/2015:09:55:50 -0500] "POST /bar.php HTTP/1.1" 404 - "<my test url>" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
“您无权访问” ???
为什么我有6次但没有7次获得许可?
同时查看Apache错误日志(通过cPanel),我看到以下行:
[Sat Jan 17 09:55:50 2015] [error] [client <my IP>] File does not exist: /home/<my user>/public_html/403.shtml, referer: <my test url>
最佳答案
做了一些彻底的研究。是... mod_security!
查看http://www.opensourceforu.com/2011/08/securing-apache-part-10-mod_security/,搜索“ SecFilterScanPOST”。我的'aaa'发布变量用作一些随机令牌,并且偶尔会有此mod_security机制过滤的值。
在与主机支持人员聊天之后,此问题已修复。最初,我认为自己可以通过适当地编辑一些.htaccess文件来解决该问题,但最终看来我需要他们的帮助。