我们有一个应用程序,有很多表单可用于提交数据。这些表单大量使用带有JSON的AJAX将信息发布到数据库。我担心恶意用户可能通过传递JSON结构化数据来尝试调用我们的Ajax接口的事件。 php脚本不区分我们自己的服务器调用它或从外部调用。理论上,恶意用户无需通过我们的网站就可以在我们的数据库中编写内容。这是否是一个有效的问题,如果有的话,有办法解决这个问题吗?
答案 0 :(得分:1)
是的,这是一个有效的问题。 OWASP有一些很好的指南 here ,你应该阅读。
我想强调你 不应该依赖客户逻辑。
答案 1 :(得分:1)
HTTPS(HTTP到SSL / TLC)就是您想要的。该协议将处理服务器身份验证和(可选)客户端身份验证。你只需要在你的服务器中启用它,你就可以免受中间人攻击。