jquery ajax 数据发布的安全建议？

Question

我正在使用 jquery ajax 将更新发布回我的服务器。我担心确保我已采取适当的措施，以便只有我的 AJAX 调用才能发布数据。

我的堆栈是 Apache 上的 PHP 和 MySQL 后端。

非常感谢您的建议！

Answer 1

页面中的 AJAX 调用可以发出的任何请求也可以由应用程序外部的人员发出。如果做得正确，您将无法判断它们是作为 Web 应用程序的 AJAX 调用的一部分还是通过手动/其他方式进行的。

当您说要确保只有 AJAX 调用可以发布数据时，我可以想到您可能会谈论两种情况：要么您不希望恶意用户能够发布干扰其他用户数据的数据，要么您实际上希望将帖子限制在多请求操作的“流”中。

如果您担心第一种情况（有人向/作为另一个用户发布恶意数据），无论您是否使用 AJAX，解决方案都是相同的 - 您只需通过任何必要的方式对用户进行身份验证 - 通常通过会话曲奇饼。

如果您担心第二种情况，那么您将必须执行一些操作，例如在流程的每个步骤中发出唯一的令牌，并将预期的令牌存储在服务器端。然后，当发出请求时，检查服务器端是否有针对正在执行的操作的相应条目，以及预期的令牌是否匹配以及该令牌是否尚未使用。如果不存在，则拒绝该请求；如果存在，则将该令牌标记为已使用并处理该请求。

如果您担心的不是这两种情况之一，那么答案将取决于比您提供的更多细节。

Answer 2

使用会话来确保任何 Ajax 帖子都是在经过身份验证的上下文中完成的。将您的 Ajax 代码视为服务器的另一个客户端，这样解决身份验证问题就变得更加容易。