安全問題：當jQuery使用json和服務請求時

Question

如果您使用下面的jQuery調用服務，在這種情況下，您的服務調用會顯示給用戶，允許他使用fiddler或任何定義Web應用程序

$.ajax({ 
    url: SERVICE_URL?Q1=eee&Q2=sss, 
    dataType: "application/json", 
    data: {...}, 
    ...... 
}) 

遵循的技術在Gmail，Facebook或Twitter只是爲了解決這個問題，因爲我 發現，有沒有這樣的類型有腳本調用。

我發現，他們使用OAuth認證提供程序生成的訪問令牌傳遞，他們需要訪問從jQuery的東西，每次...

請人幫助我們檢查的最佳做法，不顯示服務URL或即使編碼它

Answer 1

我認爲，如果我們採用以下更好，但仍不能確定這是否是足夠的保護您的業務。

• 所有的後端服務應該打包在API中。
• 跨系統組件使用任何存儲中的共享會話（如memcache或redis，後者最好在記住我的功能的情況下保持持久性，如果存在的話），防止在未經過身份驗證或授權的情況下調用您的服務
• 管理您的服務，以防止通過點擊使用最多每秒命中......（你可以，如果你正在使用Redis的應用此技術）

提示：Redis的持久性，這裏將詳細描述http://redis.io/topics/persistence

更新：作爲一個e AWS正在通過API網關和Amazon Cognito實現這一點，這就是所謂的無服務器應用程序:)

Answer 2

試着改變你的數據類型爲「JSONP」