Что произойдет, если пользователь посмотрит мой файл JavaScript, скопирует содержимое функции и отправит запрос на мой сервер с помощью AJAX? И есть ли способ правильно защитить от этого?Выполнение вызовов AJAX secure
ответ
Способ защиты от этого не отличается от способа защиты от любого веб-запроса. Вы делаете это так, чтобы ваш сайт нуждался в некоторой форме аутентификации (т. Е. Пользователи должны были входить в систему) и не делали ничего, если запрос не был должным образом аутентифицирован.
Обычно, когда вы делаете запрос AJAX, cookie также отправляется вместе с запросом, поэтому вы должны просто использовать тот же метод аутентификации, который вы используете для своих обычных запросов с вашими запросами AJAX.
В соответствии с кодекой нет способа предотвратить создание человеком собственного запроса Ajax, который идентичен тому, который у вас есть в вашем запросе Javascript. Междоменная защита не обязательно будет защищать вас там, поскольку они могут, если они пожелают, просто ввести Javascript в адресную строку для себя, находясь на странице вашего сайта.
Единственная защита, которую вы имеете, это проверить ввод и параметры, предоставленные с помощью запроса Ajax на стороне сервера. Ограничьте каждый PHP или Python или любой сценарий ответа на очень конкретную задачу и проверьте ввод на стороне сервера. Если что-то не так, ответьте на ошибку.
Короче говоря, не существует способа предотвратить отправку запроса кем-либо, но вы можете помешать им делать то, что вы не хотите, чтобы они делали на вашем сервере.
Означает ли это, что никогда нельзя создавать безопасную * и * обобщенную архитектуру CRUD с использованием AJAX? – dclowd9901
Предполагая, что вам нужна форма аутентификации:
Я думаю, вы можете сохранить сессию базы данных, чтобы проверить, если запрос исходит от подлинного пользователя для подделаны. Использовать зашифрованные файлы cookie для хранения идентификатора сеанса и передать идентификатор сеанса cookie в базу данных для проверки пользователя.
- 1. Выполнение суммы вызовов Ajax
- 2. Выполнение вызовов AJAX с Python
- 3. Выполнение безопасных вызовов ajax с помощью jQuery
- 4. Выполнение кода после нескольких вызовов AJAX
- 5. Выполнение двух одновременных вызовов AJAX для PHP
- 6. Выполнение одновременных вызовов AJAX для разметки Django
- 7. Выполнение вызовов Javascript синхронно
- 8. Приостановить выполнение обратного вызова AJAX после нескольких вызовов AJAX
- 9. JQuery Несколько вызовов AJAX
- 10. AJAX вызов https endopint = secure?
- 11. Symfony 2 - Secure Ajax Controller
- 12. AJAX несколько вызовов ajax
- 13. Выполнение избыточных вызовов OpenGL
- 14. Выполнение системных вызовов
- 15. Выполнение нескольких вызовов fb.api
- 16. Выполнение HTML5/Javascript внутри iFrame Secure
- 17. Выполнение порядка одновременных вызовов вызовов в C#
- 18. Выполнение асинхронных вызовов API с помощью jQuery и Ajax
- 19. Выполнение синхронных вызовов Ajax из цикла через JQuery
- 20. Выполнение jQuery после выполнения 3 вызовов и циклов AJAX
- 21. Выполнение нескольких вызовов JQuery AJAX из одного события
- 22. JQuery - выполнение пользовательских вызовов функций в порядке
- 23. Выполнение вызовов built.io из Spring
- 24. Выполнение вызовов сторонней службе testable
- 25. requirejs - Выполнение нескольких вызовов, требующих
- 26. Выполнение асинхронных вызовов с Vuex
- 27. Выполнение вызовов в фоновом режиме?
- 28. Выполнение обратных вызовов в AS3
- 29. Выполнение нескольких вызовов клиента клиента
- 30. Выполнение системных вызовов с опциональными
Ahh имеет смысл. Я просто не знал, есть ли у браузеров какая-то перекрестная защита. Спасибо, бутон. –
браузер не разрешит xmlhttprequest с другого сервера/домена. Однако, если вы разрешаете запросы json-p, это может произойти, также кто-то может обмануть браузер, обрабатывать запросы на ajax, как и любые другие, как уже упоминалось. – Tracker1