以下内容参考自:
http://searchwebservices.techtarget.com/qna/0,289202,sid26_gci1164745,00.html
这篇文章说的是对Eric Pascarello的一次访问的内容。Eric Pascarello是Ajax In Action的作者之一。
Eric Pascarello首先不认为XMLHttpRequest增加了太多的安全问题。因为XMLHttpRequest也不过是一个普通的表单提交。不使用XMLHttpRequest,而是普通的表单提交的话。我们一样可以通过查看页面的源代码来查看表单的action地址,获取提交的参数等。
Eric Pascarello强调了服务器验证的重要性。任何客户端的验证,比如disabled,read-only和hidden元素只是一个笑话。在浏览器地址栏中输入javascript:document.FormName.ElementName.disabled=”false”;void(0); 那些受保护的页面元素的属性就更改了。没有数据是安全的,所以服务器验证很重要。
Ajax的确引入新的问题,如果开发人员设计了很差的Ajax控件的话,很容易引起服务器崩溃。比如类似Google Suggest这样的应用,如果不在客户端和服务器做cache,原来是用户输入完成之后才提交请求,现在是用户每输入一个字就提交查询,不缓存的话,查询的数目就增大了数倍。
Eric Pascarello最后说到的是关于跨域的请求(cross-domain request),这会带来很多问题,应该尽量避免。如果的确需要的话,比如调用第三方提供的服务,就需要小心谨慎。
Pascarello’s Rules of Thumb for Ajax Security:
- If you use user authentication, make sure you check for it on the request page!
- Check for SQL injections.
- Check for JavaScript injections.
- Keep the business logic on the server!
- Don’t assume every request is real!
- Check the data with validation!
- Look at the request’s header information and make sure it is correct.
分享到:
相关推荐
Ajax-ajax-contact-form-wordpress.zip,wordpress的联系人表单,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新加载...
Ajax-wc-ajax-product-filter.zip,Woomerce AJAX产品过滤器-是一个插件,允许您根据类别、属性和价格轻松过滤产品。您可以对产品进行排序,导航到下一页和上一页,而无需重新加载该页。,ajax代表异步javascript和xml...
Ajax-magento2-ajax-cart-quick.zip,magento 2 ajax购物车扩展插件提供舒适的购物体验。客户可以很容易地选择可配置的选项并在弹出窗口中编辑项目,而不会浪费重新加载页面的时间。,ajax代表异步javascript和xml。它...
Ajax-magento2-ajax-layered-navigation.zip,ajax分层导航magento 2提供了一个过滤器列表,帮助您的客户以最短的方式搜索和获得他们最喜欢的产品。这个扩展应用了现代ajax技术来增强过滤系统,以提高用户对页面上每...
【标题】"jboss-ajax4jsf-1.1.1-src" 是一个开源项目,主要涉及Ajax4jsf框架的源代码版本,版本号为1.1.1。Ajax4jsf是针对JavaServer Faces (JSF) 技术的一个扩展,它允许开发者在JSF应用中无缝集成Ajax功能,提升...
#### 标题解析:“Enterprise-Ajax-Security-with-ICEfaces.pdf” 此标题明确指出了文档的主要内容:面向企业的Ajax安全及其在ICEfaces框架下的实现。该文档针对的是企业级应用程序开发人员,旨在帮助他们了解如何...
Ajax-ajax-shopping-cart-page.zip,magento 2购物车页面ajax更新数量,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新...
Ajax-national-security-project.zip,面向国家安全的地理信息网络平台,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新...
Ajax-Magento-ajax-add-to-cart.zip,[模块magento 1]magento ajax添加到购物车-ajoter vos produits au panier en ajax/感谢ajax将您的产品添加到购物车,ajax代表异步javascript和xml。它是多种web技术的集合,包括...
Ajax-gunbasic-js.zip,gunbasic js是一个库,用于快速开发基于ajax的web应用程序,这些应用程序易于独立测试。编写ajax代码只需要一行客户端js和服务器中的实现。适用于快速成型和团队开发。,ajax代表异步javascript...
Ajax-ajax-blob-downloader.zip,从ajax请求下载blob,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新加载网页的情况下...
Ajax-ajax-todo-list.zip,客户端渲染SPA(单页应用程序)实践。这个项目使用ajax来发送请求,node.js来处理api。,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它...
Ajax-ajax-ex-boolflix.zip,副本di netflix、con js、html和css、con utilizzo di handlebars、fontawesome和chiamate ajax,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和...
Ajax-ajax-live-search.zip,ajax live search是一个php搜索表单,类似于google autocomplete特性,在您输入结果时显示结果。,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和...
Ajax-Codeigniter-3-Ajax-Form-Submission.zip,“codeigniter 3 ajax表单提交和验证教程”一集的源代码,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建...
Ajax-crud-ajax-json-jquery-php.zip,crud-ajax、php、jquery,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新加载网页...
Ajax-Ajax-CRUD-example-in-laravel.zip,使用ajax在laravel中执行crud操作的示例。,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小...
Ajax-ajax-com-js-puro.zip,projeto criado para examplicar requisisi_es ajax com js puro项目,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页...
Ajax-ajax-long-polling-chat.zip,简单的php 长轮询聊天webapp。,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新加载...