AJAX安全性是否有规范?
在创建XMLHttpRequest时,如果查询HTTPS URL,浏览器是否会处理所有证书业务并正确加密请求(或使用已存在的已验证隧道)?这个模型中是否存在安全漏洞?
然后还有AJAX的用户身份验证问题。这让我觉得使用用户密码加密部分或全部AJAX请求可以解决一些身份验证问题。我见过一些令人印象深刻的基于javascript的加密工具。似乎有很多潜力可以构建一个负责加密和身份验证(主机级别和应用程序用户级别)的单一系统。然而,我没有看到任何似乎“尝试过真实”的东西。
我的问题可归纳为:
是否存在安全AJAX的规范 使用浏览器技术或客户端 边javascript?什么 是吗?如果没有,那是什么阻止了 我们使用javascript构建一个?
一如既往地谢谢你。
答案 0 :(得分:4)
通过HTTPS的SSL与目标服务器合作。目标服务器将使用其身份证书(发送回客户端)报告其身份。这是将加密客户端和服务器之间的数据流的协议的一部分。
但是,这只是加密流,它没有解决其他几个安全问题。通过其他方式处理发出请求的用户实体的标识和认证。如果您使用SSL加密流,则使用HTTP基本身份验证应该是安全的。之后,对身份验证的响应应该是发送回客户端的会话ID,该会话ID将在所有后续请求中将其传回。应用程序服务器通常管理这些会话ID的创建。
答案 1 :(得分:0)
Ajax本身并不会引入新的东西 领域中的安全漏洞 的Web应用程序。相反, 应用程序面临同样的安全性 问题作为经典的Web应用程序 不幸的是,常见的Ajax最好 实践尚未开发, 这留下了足够的空间 事情不对。
答案 2 :(得分:0)
基本身份验证很有意义。我发现this文章解释了如何做到这一点。
我仍然希望不使用所有浏览器技术并自己加密/验证。不确定这是否有意义。密钥缓存很难实现。
我仍然想知道这是否(SSL +在ajax调用中使用基本身份验证)是常态。