19
我正在使用jquery ajax将更新发布回我的服务器。我担心确保我已经采取适当的措施,以便只有我的AJAX调用可以发布数据。jquery ajax数据发布的安全建议?
我的堆栈是PHP上的Apache对MySQL的后端。
忠告非常感谢!
A
回答
27
AJAX在您的页面中调用的任何请求都可以由应用程序之外的某个人做出。如果操作正确,您将无法确定它们是否是作为来自您的Web应用程序的AJAX调用的一部分或通过手动/其他方式生成的。
当我们想要确保只有您的AJAX调用可以发布数据时,您可能会考虑两种情况:您不希望恶意用户能够发布数据干扰其他用户的数据,或者您实际上想限制帖子处于多请求操作的“流程”中。
如果您关注第一个案例(某人向另一个用户发布恶意数据),无论您是否使用AJAX,解决方案都是相同的 - 您只需通过任何必要的方式验证用户身份 - - 通常通过会话cookie。
如果你关心第二种情况,那么你将不得不做一些事情,比如在流程的每一步发出一个唯一的令牌,并将预期的令牌存储在服务器端。然后,在发出请求时,请检查服务器端是否存在正在执行的操作的相应条目,以及预期的令牌是否匹配以及该令牌尚未使用。如果不存在,则拒绝该请求(如果存在),则将该标记标记为已使用并处理该请求。
如果您担心的不是这两种情况之一,那么答案将取决于您提供的更多细节。
5
使用会话以确保任何Ajax帖子都在经过身份验证的上下文中完成。将您的Ajax代码看作您的服务器的另一个客户端,以这种方式处理身份验证问题变得更加容易。
相关问题
- 1. 用jquery/ajax发布数据
- 2. ajax发布大数据jquery
- 3. 安全建议
- 4. jQuery自动建议脚本的Ajax安全性
- 5. 发布数据ajax jquery,html数据
- 6. jQuery/ajax不会发送发布数据
- 7. jQuery的AJAX发布错误的数据
- 8. 从AJAX Post发送安全数据
- 9. jQuery ajax安全
- 10. JQuery的Ajax WCF:问题发布数据
- 11. jQuery的AJAX发布数据不确定
- 12. 是AJAX jQuery发布数据安全浏览器/客户端操作
- 13. WCF安全建议
- 14. Azure数据工厂安全发布
- 15. 安全发布
- 16. PHP的安全建议
- 17. 从jQuery Ajax获取发布数据
- 18. jquery ajax没有发布数据
- 19. jQuery AJAX发布数据丢失
- 20. Jquery ajax无法发布数据
- 21. jQuery ajax发布数据到PHP
- 22. jQuery ajax数据发布问题
- 23. jQuery:从ajax响应发布数据
- 24. jquery ajax发布数据查询
- 25. JQuery Ajax发布数据未到达
- 26. jQuery Ajax不发布任何数据
- 27. 用jQuery将数据发布到ASP.net,我足够安全吗?
- 28. jQuery Ajax PHP安全
- 29. Ajax发布多个数据
- 30. 正在向AJAX安全的数据库发送数据吗?
会话cookie身份验证的问题在于它不足以防止CSRF攻击。放入一些额外的安全层是一个好主意 - 无论你是否使用ajax。 http://en.wikipedia.org/wiki/Csrf – 2010-03-12 22:01:46