Ajax Security (3) - Ajax的问题 - 木头的开发日志 - ITeye博客

`

alexcheng

浏览: 184407 次
性别:
来自: 北京

最近访客更多访客>>

任清宇

richcem

有梦的人

guangkun123

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

agehua：代码下载不了，，请问楼主能不能发到我邮箱，，agehua@12 ...
发布基于Apache MINA 2的联机俄罗斯方块的源代码
chris_zley：中文怎么办？很小
Lucida Sans Typewriter字体又回来了
yhjhoo：太垃圾了这个插件，还是直接用IDE吧，还专业一点。用回ecli ...
在Notepad++中使用Tidy来格式化HTML文档
micropang： ...
《使用Apache MINA 2开发网络应用》
alexcheng： Aspen 写道好像没用我之前用的一台Mac就是用这样的方式 ...
找回Mac OS X的root密码

Ajax Security (3) - Ajax的问题

博客分类：

Web 2.0

Ajax Security JavaScript 编程脚本

阅读更多

以下内容参考自：http://www.it-observer.com/articles/1062/ajax_security/

Ajax安全的大多数问题来自于服务器端的有缺陷的实现。使用安全coding技术的良好设计会使得Ajax更加安全。
其他问题：

新的技术：Ajax毕竟是一些新技术，在网上能找到的好的例子较少。
非传统的设计：Ajax包括客户端和服务器两个部分，需要不同的技术。
太多的脚本：Ajax导致过多的脚本以及与此对应的服务器页面。
为了Ajax而Ajax的想法：这种想法是不正确的，Ajax会带来很多很cool的效果，但是与之而来的是相应的测试。
不安全的通讯：Ajax调用传输的数据可能很小，但是这些数据可能是隐私和保密的。
服务器端的访问控制：使用JavaScript过程来调用Ajax可能会掩盖明显的编程错误。
服务器端验证：很重要。
客户端验证：如果客户端是执行服务器返回的JavaScript代码的话，验证也是必须的。

Ajax安全提示：
为了成功，需要从一个好的计划开始。集中精力来降低和简化Ajax调用，为响应创建标准的格式（一般是XML）。

遵循最佳实践。尤其包括检查访问控制和输入验证的缺陷；保证敏感数据通过SSL传输。
不要认为服务器端的Ajax对访问控制和用户输入的验证可以取代服务器上的检查。使用Ajax不会减少验证的工作量，反而会加大。
不要认为客户端的混淆可以包含你最重要的商业秘密。使用JavaScript是隐藏编程技巧和领先竞争者的很差的方式。
最后，对你的开发团队进行严格的控制。使用Ajax可以达到很棒的效果，但是可以考虑把它们移到第二版再说，首先集中精力构建稳定的第一版。

网站开发最佳实践的参考网站：

Open Web Application Security Project (OWASP)

http://www.owasp.org/

分享到：

构建自己的Dojo包 | Ajax Security (2) － Eric Pascarello的访 ...

2007-06-04 21:49
浏览 1380
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Enterprise-Ajax-Security-with-ICEfaces.pdf: #### 标题解析：“Enterprise-Ajax-Security-with-ICEfaces.pdf” 此标题明确指出了文档的主要内容：面向企业的Ajax安全及其在ICEfaces框架下的实现。该文档针对的是企业级应用程序开发人员，旨在帮助他们了解如何...

Ajax-national-security-project.zip: Ajax-national-security-project.zip,面向国家安全的地理信息网络平台,ajax代表异步javascript和xml。它是多种web技术的集合，包括html、css、json、xml和javascript。它用于创建动态网页，其中网页的小部分在不重新...

SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐): SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题，本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...

Ajax Bible: Ajax Bible bySteven Holzner John Wiley & Sons 2007 (716 pages) ... Chapter 15 - Ajax and Security Chapter 16 - Filters, MVC, and Ajax Index List of Figures List of Tables List of Sidebars

Ajax宝典.part1.rar: Ajax Bible bySteven Holzner John Wiley & Sons 2007 (716 pages) ... Chapter 15 - Ajax and Security Chapter 16 - Filters, MVC, and Ajax Index List of Figures List of Tables List of Sidebars

Ajax宝典.part2.rar: Ajax Bible bySteven Holzner John Wiley & Sons 2007 (716 pages) ... Chapter 15 - Ajax and Security Chapter 16 - Filters, MVC, and Ajax Index List of Figures List of Tables List of Sidebars

spring-security-core-2.0.5.RELEASE.jar修改使得满足ajax登录需求: 更改了RedirectUtils类的 response.sendRedirect(response.encodeRedirectURL(finalUrl)); 改为了 StringBuffer str = new StringBuffer(); str.append("{"); str.append("status: \"true\",");...

Building Open Source Network Security Tools - Components and Techniques: Building Open Source Network Security Tools - Components and Techniques

开发基于Struts Spring Hibernate Ajax的网上信息发布平台(Struts Hibernate Spring Ajax)--上机贯穿案例: 3. **安全性**：考虑CSRF（跨站请求伪造）和XSS（跨站脚本攻击）等安全问题，使用Spring Security加强应用程序的安全性。 4. **性能优化**：合理设计数据库索引，使用缓存机制提高响应速度，减少数据库压力。 5. **...

Ajax and PHP -- Building Modern Web Applications 2nd: This book is written for ...want to learn advanced AJAX coding patterns and techniques, and want to be able to assess the security and SEO implications of their code.

spring security ajax请求与html共存: 3. **配置Ajax支持** 在Spring Security配置中，我们需要确保Ajax请求不会因为没有适当的HTTP头而被拒绝。通常，这可以通过配置`HttpSecurity`对象来实现，添加对X-Requested-With头的支持，这是一个常见的标记Ajax...

Web 2.0 Security - Defending Ajax, RIA, and SOA.pdf: 《Web 2.0 Security: Defending Ajax, RIA, and SOA》是一本由Shreeraaj Shah编写的权威性著作，深入探讨了在Web 2.0环境下如何有效地保护诸如Ajax（Asynchronous JavaScript and XML）、RIA（Rich Internet ...

spring security 数据库存储资源信息记住我支持AJAX: 在“spring security 数据库存储资源信息记住我支持AJAX”这个主题中，我们将深入探讨Spring Security如何利用数据库来存储资源信息，实现"记住我"功能，并且处理AJAX请求。首先，让我们谈谈Spring Security如何...

Springboot+SSM+security+ajax+bootstrap+jquery+mysql: 【标题】"Springboot+SSM+security+ajax+bootstrap+jquery+mysql"是一个综合性的Java Web项目，它集成了多种技术以构建高效、现代化的Web应用。此项目的核心是Spring Boot框架，它简化了Spring应用程序的初始设置和...

spring-security-3.0.8: - **AJAX支持**：对异步JavaScript和XML（AJAX）请求提供了全面的支持。 - **OAuth2整合**：支持OAuth2协议，便于与其他OAuth2服务提供商集成。 5. **最佳实践** - **最小权限原则**：确保用户只拥有完成任务所...

spring3+struts2+hibernate3+dwr3+spring security3+ajax完整实例: 这是一个基于Java技术栈的Web应用实例，整合了Spring 3、Struts 2、Hibernate 3、Direct Web Remoting (DWR) 3、以及Spring Security 3，并且利用Ajax进行异步通信，实现了数据库配置的权限管理。下面将详细阐述这些...

Ajax in Action: **Chapter 3: Introducing Order to Ajax** - **Description**: As the complexity of Ajax applications grows, it becomes crucial to organize code effectively. This chapter discusses the importance of ...

Global site tag (gtag.js) - Google Analytics