如何使用ajax功能

Question

我已經搜索了互聯網，但是我找不到我正在尋找的信息。所以我很抱歉，如果這是一個簡單的問題或問米爾瓊時代。

我正在開發一個網站（可能）有很多Ajax功能。現在我想知道FaceBook是如何做這個的，比如'Like'按鈕。如果我使用ajax調用頁面addLike.php？post_id = 1，則訪問者（具有惡意）可以使用此URL通過向post_id添加隨機值來操縱我的db。

我該如何預防？或者什麼是最好的方式來做到這一點？

Answer 1

首先，對於數據條目（存儲在數據庫，文件等中的東西）進行突變的調用不應該從'GET'HTTP請求中被訪問，例如，刪除論壇中的帖子。也就是說，如果你想添加一個帖子，你應該使用$.post來執行ajax請求（假設你正在使用jQuery）。

而且，在響應每個請求之前，應完成身份驗證和授權。這意味着，如果用戶想要添加一個帖子，他/她應該已被認證並且被允許執行特定操作。現有的Web框架將幫助您自動實現這一點（通過配置）。

此外，您還應該通過數據清理防止XSS攻擊。你可以谷歌它的更多細節。