PHP Lang
  1. PHP Lang
  3. Вопросы безопасности AJAX
Intereting Posts
Установите сеанс / файл cookie на 24 часа, чтобы показывать что-то только один раз в день пользователям Обрезать передние и конечные пробелы в значениях JSON Как вы обрабатываете разницу в часовом поясе в PHP? Как изменить минимальную стабильность только для одного пакета в Composer PHP mySQL – вставить новую запись в таблицу с автоматическим приращением на первичный ключ Изменение значения текстового поля с помощью раскрывающегося списка, выбранного в php и mysql отправить электронное письмо с записями mysql fetch Как использовать Apache / PHP для защиты каталогов от пользователей, которые не вошли в систему Форма Jquery не показывает сообщение отправки на веб-сервере, но показывает сообщение отправки на локальном хосте Как проверить, содержит ли многомерный массив одно значение? Получите эти выходные в php? Отправитель аутентификации HTTP через PHP Автоматический формат HTML / PHP с разрывами строк и вкладками PHP включен с ../ failed PHP-тернарный оператор не анализирует внутреннее свойство класса?

Вопросы безопасности AJAX

Я надеялся выяснить некоторые вопросы, которые у меня были с безопасностью AJAX. Итак, вот сценарий, который я пытаюсь обвести вокруг себя.

Допустим, я использую AJAX для запроса получувствительного материала на страницу. Например, я собираюсь передать идентификатор пользователя в php-файл и вернуть некоторую информацию о себе. Теперь, что удерживает кого-то от подражания этому запросу Javascript и передает разные идентификаторы скрипту PHP?

  • Есть ли что-нибудь, что делает сервер, чтобы это не происходило?
  • DOM распознает Javascript, который был «изначально» на месте,
    или написано сервером, в отличие от Javascript на стороне клиента?
  • Какие еще проблемы с безопасностью при использовании AJAX для запроса чувствительного материала?
  • Я использую suPHP, это имеет какое-то влияние в таких ситуациях?

Вызов Ajax точно идентичен любому другому HTTP-запросу, за исключением того, что он асинхронный (он не перезагружает веб-браузер). Поэтому вы должны использовать любую аутентификацию, которую вы сейчас используете на своем веб-сайте.

Это может быть либо интегрированная система безопасности Windows, и файлы cookie и т. Д. В основном ваш PHP-скрипт просто должен проверить, что запрос поступает от действительного пользователя вашего приложения.

AJAX по своей сути не поддается защите. Вы не можете сделать ресурс доступным для удаленного использования и полностью защитить его. Нет надежного метода 100% для определения того, пришел ли запрос с вашего клиентского javascript или если кто-то подделывает запрос.

В лучшем случае вы можете сделать это сложнее / более утомительно, чтобы делать такую ​​фальсификацию.