我想问这个,因为如果不确定它是否安全。
我打算将我的页面更改为基于ajax的注册。所以我的数据将使用jquery ajax post插入。
但如果有人使用firebug并查看我的帖子发送到哪里,他们可以使用其他形式的firefox插件在该网址上发布数据,并且可以轻松注册而无需访问我的页面。
虽然我可以首先验证请求,但是这将是额外的代码和工作。
我还将为我的表单添加服务器验证,因为有人可以使用他们将在firebug上看到的直接URL进行注册而无需验证。
我只想知道在应用基于ajax的数据发布时是否已有标准程序。
但是基于ajax的select / fetch很酷且非常有用。
目前,这正是我计划在注册页面上进行的操作。
验证所有请求必须来自我的注册页面。
如果验证失败,我应该在服务器端进行表单验证 在插入db
答案 0 :(得分:3)
永远不要相信用户界面。
无论您是发布Ajax帖子还是标准帖子,人们都可以找出您发布的内容并创建自己的客户端。即使你使用https,控制浏览器的人也可以看到发布的内容并破译协议。
您需要创建服务,使其不易受用户手工制作客户端的影响。
答案 1 :(得分:0)
如果用户可以使用他们的浏览器通过Ajax在您的网站上注册,他们可以使用其他一些编程语言来欺骗注册。您无法做任何事情,因此他们只能 通过Ajax从您的网站注册。
你可以实施技巧让他们难以弄清楚,但你不能让它变得不可能。他们可以欺骗引用者,加载其他页面以获取所需的cookie /会话变量,欺骗Ajax请求头等。