我通过Google找到了这个great tip,我对通过Javascript填充div的技术非常熟悉。我想知道的是,这是一种请求异步页面内容的安全方式吗?如果没有,那么部分页面加载的“安全”解决方案是什么?
非常感谢:)
答案 0 :(得分:0)
Ajax调用是HTTP请求。
用于普通post和get的相同安全实践适用于Ajax post和gets。
人们吓坏了,因为我可以在Firebug中看到我的Ajax电话,人们可以看到电话的网址。任何人都可以通过简单的代理查看您对后端的调用。
只有不同的是Ajax调用更容易受到XSS的攻击,因为人们倾向于使用innerHTML推送响应中的任何内容。真正发生的唯一方法是服务器遭到入侵并发送不良信息或发生中间人攻击。
但是当你看到它时,同样的东西可以注入正常的get。
您应该确保您仍在服务器上使用身份验证进行Ajax后端调用,您应该验证服务器上的数据,并在客户端上添加基本安全检查,并避免使用eval()[使用JSON.parse或JSON.js]
OWASP有一些Ajax Security Guidelines。