0
比方說我有這樣的AJAX代碼,基本上要求在網站上的網頁,例如:AJAX-PHP請求本地頁面安全嗎?
xmlhttp=new XMLHttpRequest();
xmlhttp.open('POST','somepagehere.php',true);
xmlhttp.send('type="ajax"');
這是安全的?我看不出有任何的安全隱患,但是否有任何與這片的代碼?
A
回答
1
與此相同的風險與任何客戶端代碼一樣:可以被操縱。您應該將客戶端上執行的任何操作視爲不安全,並在服務器上驗證您擁有的是什麼。
+0
好吧,基本上它不像我想到的那樣有很大的安全風險(可能我錯了),但是網站基本上是當你單擊菜單項而不是重定向時你到那個頁面,它發出一個AJAX請求,說「我正在被ajax表單請求,不要發佈樣式表,也不要發佈標題或底部,只是內容」,如果頁面不包含type ='ajax'它基本上只顯示樣式表,頁眉和底部的網站。 這主要是爲了讓網站更快一點,但這可能會有不利之處嗎? – Debels
+0
類似樣式表或JavaScript的輔助文件應該被瀏覽器緩存,所以儘量避免發送它們可能是多餘的。如果您認爲瀏覽器在應該瀏覽時沒有緩存它們,請檢查您的服務器配置。如果您要求頁面並使用查詢字符串,則它不安全。查詢字符串可以被操縱以包含任何內容。如果你的服務器端腳本不是防彈的,那麼你有一個潛在的安全漏洞。 [bobby tables](http://xkcd.com/327/) – 2013-07-12 23:50:25
+0
我實際上正在試圖讓我的PHP代碼符合防彈標準,我嘗試做檢查,在哪裏可以看到它的有效請求和類似的東西。所以對我來說應該沒問題吧? – Debels
相關問題
- 1. HTTP請求安全嗎?
- 2. 請求本地網頁
- 3. Apache環境變量「請求安全」嗎?
- 4. 是Http Web請求安全嗎?
- 5. openid4java ConsumerManager請求/線程安全嗎?
- 6. 在Android本地腳本中進行不安全的http請求
- 7. 我可以安全地填充GET請求嗎?
- 8. 您可以通過IP安全地驗證請求嗎?
- 9. FB API在安全頁面中製作不安全的xd_arbiter.php請求
- 10. 安全地從簽名的Java小程序請求網頁
- 11. 如何從安全網頁跟蹤不安全的http請求
- 12. 安全的本地主機JavaScript的AJAX請求
- 13. 如何爲本地和遠程請求實現API安全性?
- 14. 春季安全:不需要身份驗證本地請求
- 15. 查找在安全頁面觸發IE6「非安全項目通知」上發送的非安全http請求
- 16. 使用android請求本地主機中的php頁面的http請求
- 17. Apache Cordova處理本地ajax請求嗎?
- 18. csrf安全塊http請求
- 19. 安全的JavaScript GET請求
- 20. AJAX請求的安全
- 21. 安全上$ HTTPS請求
- 22. php安全和ajax請求
- 23. iPhone HTTP請求安全
- 24. 多ajax請求和安全
- 25. HTML5頁面請求
- 26. 刮頁面請求
- 27. curl請求頁面
- 28. 安全地從頁面到頁面傳遞數據
- 29. 混合安全和非安全頁面
- 30. 安全xmlhttprequest從不安全的頁面
後'login.php'以及.. – mohkhan
跌宕我困惑的代碼,它應該是: <編輯代碼有問題這一個奇怪的看着> 讀什麼,我回答了邁克W,它也可以響應一些關於代碼和海豚的問題 – Debels