2
當我回頭看我寫的代碼時,我發現了一些非常糟糕的東西。 每當我要在數據庫中刪除記錄,我不喜歡這樣的:ajax安全性?
$.post("deleteAction.do",{recordId:10});
我不能阻止惡意用戶訪問直接我的數據庫操作的網址:
deleteAction.do?recordId=10
什麼是對這種解決方案問題?
Q
ajax安全性?
A
回答
3
這實際上取決於您的數據和您在服務器端執行的檢查。例如。如果您檢查用戶是否被允許在該記錄上執行刪除操作,那麼這不是一個很大的問題。如果你不這樣做,這意味着用戶也可以刪除其他用戶的數據。我的建議是:
- 在服務器端添加額外的檢查,以防止用戶刪除自己的其他數據。
- 而不是使用整數,你也可以使用類似GUID或另一個很難改變的標識符(閱讀:不可預知)。這可以防止「smartheads」試圖分解你的應用程序。
1
您的服務器端代碼應檢查當前登錄的用戶,並確保他們有權刪除東西。這將防止陌生人的惡意行爲,但將需要添加一些授權/許可的東西到您的網絡應用程序。
1
防止這種情況的唯一方法是在您的網站上使用身份驗證,並且只允許一些用戶執行這些操作。任何公共行爲都可以被任何惡意用戶訪問。
2
如果涉及到Ajax或不涉及。如果一個URI在服務器上做了一些敏感的事情或者暴露敏感數據,那麼你需要保護它。通常採用某種形式的身份驗證+授權。基於cookie的技術對此是正常的。實現它的具體細節取決於後端系統的設計。
另外,您不應該允許non-safe actions的GET請求。由於您的請求是一個POST,但您使用GET示例的問題,這表明您只需添加一個「這是一個POST請求?」檢查服務器端腳本。請注意,這本身並不具有足夠的保護能力,惡意用戶可以像任意GET請求那樣容易地執行任意POST請求。 (這將我們帶回到Authen/Authz)
相關問題
- 1. Ajax,PHP和安全性?
- 2. jQuery ajax安全
- 3. 通過AJAX調用URL的安全性
- 4. AJAX提交表單的安全性?
- 5. Ajax提交表單安全性?
- 6. 發送ajax的安全性請求
- 7. AJAX安全性和用戶管理
- 8. javascript遊戲中的ajax安全性
- 9. POST方法,Ajax和安全性?
- 10. AJAX安全幫助
- 11. AJAX安全問題
- 12. Ajax高分安全
- 13. CKEditor和安全AJAX
- 14. Ajax安全問題
- 15. Ajax安全問題:jQuery ajax()+ PHP scandir()=安全問題?
- 16. WebSocket安全性?
- 17. $ _session安全性
- 18. SQLCipher安全性
- 19. PHP:filter_var安全性足夠安全嗎?
- 20. Android apk安全性如何安全
- 21. 安全的Ajax調用
- 22. ajax post laravel的安全?
- 23. Ajax安全(我希望)
- 24. AJAX PHP的安全問題
- 25. AJAX請求的安全
- 26. php安全和ajax請求
- 27. Ajax和安全控制器
- 28. 多ajax請求和安全
- 29. 安全ajax表單POST
- 30. jquery Ajax安全問題