19
我正在使用jquery ajax將更新發布回我的服務器。我擔心確保我已經採取適當的措施,以便只有我的AJAX調用可以發佈數據。jquery ajax數據發佈的安全建議?
我的堆棧是PHP上的Apache對MySQL的後端。
忠告非常感謝!
A
回答
27
AJAX在您的頁面中調用的任何請求都可以由應用程序之外的某個人做出。如果操作正確,您將無法確定它們是否是作爲來自您的Web應用程序的AJAX調用的一部分或通過手動/其他方式生成的。
當我們想要確保只有您的AJAX調用可以發佈數據時,您可能會考慮兩種情況:您不希望惡意用戶能夠發佈數據干擾其他用戶的數據,或者您實際上想限制帖子處於多請求操作的「流程」中。
如果您關注第一個案例(某人向另一個用戶發佈惡意數據),無論您是否使用AJAX,解決方案都是相同的 - 您只需通過任何必要的方式驗證用戶身份 - - 通常通過會話cookie。
如果你關心第二種情況,那麼你將不得不做一些事情,比如在流程的每一步發出一個唯一的令牌,並將預期的令牌存儲在服務器端。然後,在發出請求時,請檢查服務器端是否存在正在執行的操作的相應條目,以及預期的令牌是否匹配以及該令牌尚未使用。如果不存在,則拒絕該請求(如果存在),則將該標記標記爲已使用並處理該請求。
如果您擔心的不是這兩種情況之一,那麼答案將取決於您提供的更多細節。
5
使用會話以確保任何Ajax帖子都在經過身份驗證的上下文中完成。將您的Ajax代碼看作您的服務器的另一個客戶端,以這種方式處理身份驗證問題變得更加容易。
相關問題
- 1. 用jquery/ajax發佈數據
- 2. ajax發佈大數據jquery
- 3. 安全建議
- 4. jQuery自動建議腳本的Ajax安全性
- 5. 發佈數據ajax jquery,html數據
- 6. jQuery/ajax不會發送發佈數據
- 7. jQuery的AJAX發佈錯誤的數據
- 8. 從AJAX Post發送安全數據
- 9. jQuery ajax安全
- 10. JQuery的Ajax WCF:問題發佈數據
- 11. jQuery的AJAX發佈數據不確定
- 12. 是AJAX jQuery發佈數據安全瀏覽器/客戶端操作
- 13. WCF安全建議
- 14. Azure數據工廠安全發佈
- 15. 安全發佈
- 16. PHP的安全建議
- 17. 從jQuery Ajax獲取發佈數據
- 18. jquery ajax沒有發佈數據
- 19. jQuery AJAX發佈數據丟失
- 20. Jquery ajax無法發佈數據
- 21. jQuery ajax發佈數據到PHP
- 22. jQuery ajax數據發佈問題
- 23. jQuery:從ajax響應發佈數據
- 24. jquery ajax發佈數據查詢
- 25. JQuery Ajax發佈數據未到達
- 26. jQuery Ajax不發佈任何數據
- 27. 用jQuery將數據發佈到ASP.net,我足夠安全嗎?
- 28. jQuery Ajax PHP安全
- 29. Ajax發佈多個數據
- 30. 正在向AJAX安全的數據庫發送數據嗎?
會話cookie身份驗證的問題在於它不足以防止CSRF攻擊。放入一些額外的安全層是一個好主意 - 無論你是否使用ajax。 http://en.wikipedia.org/wiki/Csrf – 2010-03-12 22:01:46