3
我使用Ajax(jQuery)和POST方法來更新數據庫中的數據。我做到以下幾點:POST方法,Ajax和安全性?
- 獲取從表單數據:USER_ID,entry_id,內容,...
- 它們發送到將處理數據的URL。
- 如果數據有效,我們會將它們記錄在我們的數據庫中。
我不知道如何驗證用戶從我的網站發送數據而不是從其他地方發送數據。請幫我解決這個問題。謝謝 !
A
回答
5
您正試圖抵禦CSRF攻擊。
標準防禦措施是在POST中有一個require從另一個AJAX請求中獲取一個標記。由於瀏覽器的跨域防禦功能,您的域外的Javascript將無法獲得令牌。
1
有幾個問題在這裏:用戶
- 身份驗證和授權是誰做的操作
- 防護CSRF。
決定你需要做什麼。第一個應該可以通過cookies,HTTP認證(瀏覽器針對AJAX請求發送)或者一些自定義方法(例如包含認證的額外參數)來處理。
CSRF是一個不同的問題,但您可以很輕鬆地通過確保請求確實通過AJAX進入,而不是通過正常的表單進行迴避。這應該可以通過添加一個額外的頭來實現,這個額外的頭不能通過製作HTTP表單來添加(注意:並非所有的頭都可以通過Javascript添加,嘗試使用X-Header)。
另一種可能是首先不使用表單編碼的文章;如果您希望正文中包含JSON對象,則該對象不能來自其他站點,因爲瀏覽器不會通過HTTP POST正常發送它。
+1
爲你的開場+1,最後兩段爲-1:你需要抵禦基於HTTP的攻擊,但不一定基於瀏覽器。我們不能假設任何理論攻擊者只會使用瀏覽器。舉例來說,鏈接垃圾郵件發送者比這更先進。 – 2009-12-20 15:56:01
+0
跨網站請求僞造是您的合法用戶被欺騙使用他們自己的瀏覽器(以其身份驗證和cookie)進行非預期請求的地方。使用基於非形式的POST或自定義標頭可以避免這種特定的攻擊。 – MarkR 2009-12-20 22:01:26
相關問題
- 1. Ajax POST/GET安全
- 2. Ajax,PHP和安全性?
- 3. ajax安全性?
- 4. ajax post laravel的安全?
- 5. 安全ajax表單POST
- 6. ajax post方法和php
- 7. Springframework安全性,無法提交POST方法的HTML表單
- 8. jQuery的AJAX方法和Post方法
- 9. post方法ajax
- 10. 彈簧安全方法的安全性和動態
- 11. HTML跨域Post方法安全
- 12. 安全和不安全的win32方法
- 13. 爲HTTP POST方法配置彈簧安全性
- 14. 禁用POST方法的彈簧安全性
- 15. OAuth2全局方法安全性
- 16. AJAX安全性和用戶管理
- 17. 使用SpringMVC和jQuery的Ajax安全性
- 18. PHP和AJAX安全
- 19. CKEditor和安全AJAX
- 20. 從AJAX Post發送安全數據
- 21. 頁面方法和安全
- 22. PHP中的jQuery Ajax和POST方法
- 23. PHP POST安全
- 24. AJAX調用POST方法
- 25. AJAX中的POST方法
- 26. Laravel Ajax響應post方法
- 27. JQuery AJAX post方法問題
- 28. select2 with ajax post方法
- 29. 使用jQuery AJAX POST方法
- 30. 轉換$ .post方法爲$ .ajax方法
他們可以運行bot來獲取令牌。所以我認爲最好的辦法就是包括cookie,除此之外,如果你不想要這個攻擊,那就去找一個驗證碼。 – DucDigital 2010-02-06 15:08:06
@DucDigital:你在說什麼? – SLaks 2010-02-07 00:11:02