2
當我們使用AJAX調用服務器方法時,我們必須指定它的名稱和參數。安全性好嗎?對此沒有任何顧慮嗎?服務器方法暴露在AJAX中:是否安全
A
回答
3
這裏確實存在一個安全問題:即任何可以用AJAX調用的方法都可以被攻擊者用任何他們想要的參數調用。因此,即使惡意地調用,您也需要確保所公開的任何方法都是無害的。
如果您確實需要通過AJAX公開那些可能有害的方法,那麼您需要確保這些方法只在用戶進行了適當的身份驗證時纔會執行其預期的操作,並且操作的範圍僅限於用戶有權這樣做。身份驗證信息應以某種方式傳輸,使攻擊者難以攔截,例如在HttpOnly cookie中。
此外,這些方法應該受到保護,以防止CSRF attacks,攻擊者可以通過該方法欺騙已通過身份驗證的用戶調用他們不打算訪問的方法。標準解決方案是將輔助身份驗證令牌作爲參數傳遞給方法,並且只有在令牌和Cookie匹配時才允許訪問。
簡短的說法是:任何通過AJAX公開的東西都是暴露的。將其視爲attack surface的一部分。
相關問題
- 1. 在wcf服務中暴露的方法
- 2. 暴露開發堆棧(框架,服務器,語言等)是否安全
- 3. 通過Web服務暴露system.dll是否可能存在安全隱患?
- 4. 暴露EJB方法,REST服務
- 5. com.day.cq.search.impl.SimpleSearchImpl是否暴露了addPredicate()方法?
- 6. 在客戶端暴露Facebook應用令牌是否不安全?
- 7. 在Rails中暴露web服務API
- 8. 暴露Web服務API 3
- 9. 是否有可能在不同的端口暴露WCF服務?
- 10. 通過WCF服務暴露的對象是否僅僅是DTO?
- 11. 如何讓我的服務層中暴露的Dao方法?
- 12. Netbeans 8.1如何在平安的服務中暴露ejb
- 13. 將java遠程調試器端口暴露給互聯網是否安全?
- 14. 通過安全網關暴露API
- 15. 暴露IP地址安全嗎?
- 16. 在iOS靜態庫中暴露方法
- 17. Web服務是否暴露給任何人?
- 18. ADFS是否暴露了我可以調用的web服務?
- 19. 如何暴露在我的WCF服務
- 20. 禁止類暴露方法
- 21. C#RPC暴露API方法
- 22. 在WCF中暴露WSDL中的接口,而不是服務
- 23. 將dao類的方法暴露給web服務java
- 24. java屬性 - 暴露還是不暴露?
- 25. 在本地服務器上暴露碼頭容器
- 26. 在生產win2008 Web服務器上安裝SVN是否安全?
- 27. 如何不暴露python中的方法
- 28. 如何暴露V8中的類方法
- 29. HTTP包服務器在生產中是否安全使用?
- 30. 暴露嵌套對象的RIA服務