AJAX でサーバー メソッドを呼び出すときは、その名前とパラメーターを指定する必要があります。セキュリティ的には大丈夫ですか?この点、懸念はないでしょうか。
質問する
67 次
1 に答える
3
実際、ここにはセキュリティの問題があります。つまり、AJAXで呼び出すことができるメソッドは、攻撃者が必要な引数を使用して呼び出すこともできます。したがって、悪意を持って呼び出された場合でも、このように公開されたメソッドが無害であることを確認する必要があります。
AJAXを介して潜在的に有害なことを行うメソッドを公開する必要がある場合は、ユーザーが適切に認証されている場合にのみこれらのメソッドが意図したアクションを実行し、アクションの範囲がユーザーが許可されているものに制限されるようにする必要がありますやること。認証情報は、 HttpOnly Cookieなど、攻撃者が認証情報を傍受しにくい方法で送信する必要があります。
また、このようなメソッドはCSRF攻撃から保護する必要があります。これにより、攻撃者は認証されたユーザーをだまして、意図しないメソッドを呼び出す可能性があります。標準的な解決策は、セカンダリ認証トークンをパラメーターとしてメソッドに渡し、トークンとCookieの両方が一致する場合にのみアクセスを許可することです。
短いバージョンは次のとおりです。AJAXを介して公開されるものはすべて公開されます。攻撃対象領域の一部として扱います。
于 2012-12-26T13:21:55.193 に答える