Я немного смущен информацией о безопасности jQuery AJAX. Я разрабатываю ADD-ON для CMS. Есть jQuery AJAX для PHP-файла EXECUTE.PHP
. Теперь я хотел бы продать мою ADD-ON и вот вопросы:jQuery AJAX - ограничения, безопасность, защита от перекрестных доменов
- My ADD-ON будет покупать два клиента
A)John (nice guy), B)Bruce (the hacker)
. Они знают структуру моего кодирования, расположение файлов, содержимое файлов - ВСЕ. Что, если Брюс изменит вызовы AJAX в файлEXECUTE.PHP
сервера Джона. Брюс знает, что CMS установлена наWWW.DOMAIN-NAME.COM/CMS
, поэтому он может подозревать местоположениеEXECUTE.PHP
на сервере Джона. Можно ли сделать это? ФайлEXECUTE.PHP
может удалять записи в БД - так ли Брюс способен удалить все записи БД с помощью цикла, как"DELETE FROM ... WHERE ID = [1, 2, 3 ..]"
? Возможно ли это с перекрестным доступом к домену (у Джона есть собственный домен, а у Брюса есть собственный и другой домен)? Что я могу сделать, чтобы это предотвратить? Существуют ли другие риски? - Когда Брюс позвонит
EXECUTE.PHP
на сервер Джона, а файлEXECUTE.PHP
возвращает адрес через$_SERVER['REQUEST_URI']
- какой адрес он вернет. Это будет адрес Джона или адрес Брюса, есть вызов AJAX?
Благодарим вас за ответы и помощь.
Боюсь, что это, скорее всего, будет закрыто как вопрос, на который нельзя ответить, как просто обсуждаемый. SO больше для вопросов, специфичных для кода. – Utkanos
Добавьте код, чтобы мы могли ясно понимать – Firefog