Безопасность Ajax

  • Автор темы Автор темы Emelya
  • Дата начала Дата начала
E

Emelya

Всем день добрый!
У меня тут вопрос появился, звучит примерно так: В связи с тем, что страничка с использованием XMLHttprequest это практически открытый код, то есть не составляет большого труда понять, какой запрос в каком случае отправляется на сервер, то насколько безопасно его использование? И возможно ли как то спрятать яваскрипткод от чужих глаз?
ок, уверен, что спрятать нельзя, но можно ли как то кинуть запрос на сервер с чужого браузера с нужным запросом, а то как то не очень хочется с Perl начинать возьню(((
Всем заранее спасибо<_<
 
надо ограничить набор методов, выполняемых на сервере, ну и стандартная безопасность для внешних данных
 
Для: Andrew Stephanoff
Спасибо, и тогда сразу ещё вопросы:
... а где почитать про стандартную безопасность?
Не знаю, как ограничить, я имел в виду, что содержимое форм, или запросы приходят на сервер, который либо заносит их в БД, либо считывает чего-нибудь из базы данных и соответственно отвечает. Так вот в коде достаточно легко проследить как и чего запросить/дать приказ на запись в ДБ. Хотя может стоит все переменные после отладки переименовать в какие-нибудь х1,у2 и тд... Но ведь это тоже не очень надёжно(((... Или я чего то не догоняю?
 
Даже если Вы Js "закодируете" (хотя это не возможно), get и post запросы на сервер все-равно можно смотреть. Всю безопасность нужно реализовывать на сервере.
 
все внешние параметры, используемые в sql, должны экранироваться,
не использовать внешних параметров для включаемых файлов
определить стандартный набор методов и проверять запрошенный метод на наличие в составе разрешенных
 
Для: Andrew Stephanoff
Спасибо, примерно понял, кстати, если я ещё session прикроюсь, это поможет? Вообще, если страничка защищена сессией, типа :
Код: 
if (session.getAttribute("nikname")==null)
response.sendRedirect(response.encodeRedirectURL("/login.jsp"));
то это как? (ну или проверка в БД на присутствие там session.getAttribute("nikname").toString ) Ну и соответственно, сервер тоже постоянно, при каждом xmlhtttp-запросе опрашивает сессию. Такие вещи тоже ломают?
Вообще кто нить знает, где почитать как ломают? Сдаётся мне пока механику взлома не посмотришь, защиту не поставишь :(
 
Для: Emelya
Я, думаю, Вам нужно посмотреть ссылки, например, в Яндекс по запросу "sql инъекции". Тогда может понятнее будет.
 
Для: safo
Здоров, спасибо, почитал :angry:
 
SQL injections - это проблема не только AJAX, а веб программирования в целом. Для AJAX нет ничего такого особенного, что отличало бы XMLHTTP запрос от обычного HTTP запроса и методы защиты тут одинаковы.

Единственное отличие: мы на стороне сервера можем определить, ай ли запрос сформировал наш браузер через XMLHTTPRequest, или это злоумышленник вбил ручками в браузере адрес запроса. При запросе с помощью технологии AJAX устанавливается HTTP-заголовок HTTP_X_REQUESTED_WITH со значением “XmlHTTPRequest”. Таким образом, на стороне сервера, в РНР, например, можно узнать, вызвана ли страница с помощью AJAX.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ