安全问题:在json中使用jQuery从服务请求时

时间:2012-04-15 13:46:50

标签: jquery json

如果您使用下面的jQuery调用服务,在这种情况下,您的服务调用会显示并显示给用户,允许他使用fiddler或任何自定义Web应用程序调用此类服务​​

$.ajax({
   url: SERVICE_URL?Q1=eee&Q2=sss,
   dataType: "application/json",
   data: {...},
   ......
})

gmail,facebook或twitter中遵循的技术就像我一样解决这个问题 发现脚本中没有这种类型的调用。

我发现他们正在使用oAuth身份验证提供程序生成访问令牌,以便每次需要从jQuery访问任何内容时传递...

请任何人帮助我们检查不显示服务网址或编码的最佳做法

2 个答案:

答案 0 :(得分:1)

尝试将您的dataType更改为“jsonp”

答案 1 :(得分:0)

我认为如果我们应用以下内容会更好,但仍然不确定它是否足以保障您的服务。

  • 所有后端服务都应该用API打包。
  • 在任何商店中使用共享会话(例如memcache或redis,后者最好在系统组件中保持持久性,以便记住我的功能),防止在未经过身份验证或授权的情况下调用您的服务
  • 使用每秒最高点击量来管理您的服务以防止点击...(如果您使用redis,则可以应用此技术)

提示:此处详细描述了Redis持久性http://redis.io/topics/persistence

更新作为示例,AWS现在通过API网关和Amazon Cognito实现此功能,这就是所谓的无服务器应用程序:)