我正在建立一个充值系统,用户可以在这里支付一些东西,一些积分会进入他们的电子钱包。但后来我发现如果登录用户足够聪明,他可以触发ajax并转储任何值。
我该如何预防?因为任何用户都可以打开开发工具并发布帖子请求。
答案 0 :(得分:-1)
您需要先设置SSL,不要在URL中使用pas参数,并尽可能使用CSP。 OWAP网站专门针对如何实现您的需求提供了许多有用的指导。
我认为这需要更多解释。您描述的是一种XSS攻击,很可能属于浏览器中的人或CSRF(跨站点请求伪造)类别。您可以通过首先确保您的网站使用SSL来帮助防止它。 SSL使用https协议。该协议允许服务器和应用程序在初始握手后建立商定的安全加密。之后发生的所有事务都发生在已建立的安全层上; SSL。顶级浏览器正在推动这对于网络应用程序是强制性的,尤其是如果您通过网络进行金融交易。
OWASP SSL certificates explained Google Will Soon Shame All Websites That Are Unsecured
CSP允许您指定特定的域和来源。 Man-in-the-browser attack
此外,您可以使用CORS设置可接受的http标头。
以下是一个例子:
extern crateIntroducing Content Security policy
.NET中的CSP Your API-Centric Web App Is Probably Not Safe Against XSS and CSRF