2

安全であると確信が持てない場合は、これをお尋ねしたいと思います。

ページを ajax ベースの登録に変更する予定です。したがって、私のデータは jquery ajax post を使用して挿入されます。

しかし、誰かが firebug を使用して私の投稿が送信されている場所を確認した場合、他の形式の Firefox アドオンを使用してその URL にデータを投稿し、私のページに移動せずに簡単に登録できます。

最初にリクエストの送信元を検証できますが、それは余分なコードと機能になります。

firebug で表示される直接の URL を使用して、誰かが検証なしで登録できるため、フォームのサーバー検証も追加します。

ajax ベースのデータ ポストを適用する際の標準的な手順が既に存在するかどうかを知りたかっただけです。

しかし、ajax ベースの select / fetch はクールで非常に便利です。

現在、これは私の登録ページで行うことを計画していることです。

  1. すべてのリクエストが私の登録ページからのものでなければならないことを検証します。

    • トランザクション/リクエストコードを使用する場合があります
    • クッキーを使用する場合があります
    • セッションを使用する可能性があります
    • 日時比較を使用する場合があります

  2. 検証が失敗した場合、データベースに挿入する前に、サーバー側でフォーム検証を行って、投稿されたデータを消去する必要があります

4

2 に答える 2

3

UIを絶対に信用しないでください。

あなたがAjaxの投稿をするか標準の投稿をするかにかかわらず、人々はあなたが投稿しているものを理解し、独自のクライアントを作成することができます。httpsを使用している場合でも、ブラウザを制御している人は、投稿された内容を確認してプロトコルを解読できます。

クライアントを手作りするユーザーに対して脆弱にならないように、サービスを作成する必要があります。

于 2012-07-26T23:33:37.120 に答える
0

ユーザーがブラウザを使用して Ajax 経由でサイトに登録できる場合、他のプログラミング言語を使用して登録を偽装できます。Ajax 経由でのみサイトから登録できるようにするためにできることは何もありません。

トリックを実装して、彼らが理解するのを難しくすることはできますが、不可能にすることはできません. リファラーを偽装したり、他のページをロードして必要な Cookie/セッション変数を取得したり、Ajax リクエスト ヘッダーを偽装したりできます。

于 2012-07-26T23:35:01.380 に答える