Предположим, у меня есть var, сгенерированный на лету (например, вызов API Facebook, который возвращает идентификатор пользователя). Затем я хочу отправить этот var на свой собственный сервер, используя jQuery AJAX.Безопасность: сообщения AJAX
Мой вопрос - это безопасно? Может ли кто-то перехватить и вставить свое значение до отправки AJAX на мой сервер? Если это не безопасно, как делать такие сообщения AJAX?
Да, кто-то может перехватить его и изменить значение, если вы не используете HTTPS. Таким образом, это будет в основном решением для обеспечения безопасности, а также некоторой системой аутентификации. Кроме этого, убедитесь, что вы не храните ничего секретного в этом var, так как ваши пользователи могут легко увидеть его значение.
Проверьте/Pull сторону ID сервера http://graph.facebook.com/1303834107 :) например
Может кто-то перехватывать и вставить свою ценность перед AJAX отправляется на мой сервер?
Это зависит от того, кого вы подразумеваете под «кем-то».
Если вы говорите о нападающих третьей стороны, то точки возможного нападения являются:
Если вы говорите о пользователя браузера, то нет ничего, что вы можете сделать, чтобы остановить их изменения данных. Пользователь полностью контролирует то, что их браузер отправляет на ваш сервер. Единственная защита, которую у вас есть, - это удаление браузера из уравнения (что предполагает использование OAuth для получения разрешения на доступ к своей учетной записи Facebook с вашего сервера).
Спасибо за это - но как HTTPS это изменить? Как это может помешать пользователям изменять данные POST AJAX на лету? – user1775598
HTTPS не запрещает пользователям изменять данные POST - это только прекратит ДРУГИЕ люди от возможности захватить его и изменить. Вот почему вам нужна система аутентификации и, вероятно, какая-то система разрешений - тогда, если пользователь изменяет значение на что-то еще, вы можете разрешить им использование этого ресурса, а если они не авторизованы, то вы будете отвечать на запрос 401/403 вместо 200. –