我正在考虑在一个项目上广泛使用AHAH,并担心安全问题。攻击者是否无法将恶意代码注入我的响应中,然后在客户端执行?如果我的AJAX响应是JSON,我不必担心这个,因为如果事情被篡改,JSON将不再有效。
另一方面。 AHAH似乎没有比任何正常的非https请求更大的风险。是否有我遗漏的东西或其他什么想法?
答案 0 :(得分:3)
攻击者是否无法将恶意代码注入我的响应中,然后在客户端执行?
他们不能这样做到没有Ajax的普通页面吗? Ajax是一个普通的HTTP请求。这里没有什么新东西,适用相同的安全规则。
如果他们可以在AHAH中篡改HTML,他们可以篡改这些请求中的JSON / XML / Text,使其有效。
答案 1 :(得分:0)
我已经在这里和那里使用了这种技术,在4到5年的时间里,并没有真正的问题。您需要了解任何问题,因为任何JS重型应用都会引起关注。
如果您的应用从'xxx.com'请求数据而'xxx.com'不是您,或者您的服务器在您不知情的情况下发出恶意HTML / javascript,那么您对数据传输的选择有更大的顾虑技术
答案 2 :(得分:0)
与PHP等服务器端代码相比,JavaScript的安全性问题非常少。您必须在JavaScript中注意的一个问题是Dom Based XSS。