2

我想问这个,因为如果不太确定它是安全的。

我计划将我的页面更改为基于 ajax 的注册。所以我的数据将使用 jquery ajax post 插入。

但是,如果有人使用 firebug 并查看我的帖子被发送到哪里,他们可以使用其他形式的 firefox 插件在该 url 上发布数据,并且无需转到我的页面即可轻松注册。

虽然我可以先验证请求的来源,但这将是额外的代码和工作。

我还将为我的表单添加服务器验证,因为有人可以使用他们将在 firebug 上看到的直接 url 注册而无需验证。

我只是想知道在应用基于 ajax 的数据发布时是否已经有标准程序。

但是基于 ajax 的 select / fetch 很酷而且非常有用。

目前,这就是我计划在我的注册页面上做的事情。

  1. 验证所有请求必须来自我的注册页面。

    • 可能使用事务/请求代码
    • 可能会使用 cookie
    • 可能会使用会话
    • 可能会使用日期时间比较

  2. 如果验证失败,我应该在服务器端进行表单验证,以在插入数据库之前清理我发布的数据

4

2 回答 2

3

永远不要相信 UI。

无论您是发布 Ajax 帖子还是标准帖子,人们都可以找出您发布的内容并创建他们自己的客户端。即使您使用 https,控制浏览器的人也可以看到发布的内容并破译协议。

您需要创建您的服务,使其不易受到用户手工制作客户端的攻击。

于 2012-07-26T23:33:37.120 回答
0

如果用户可以使用他们的浏览器通过 Ajax 在您的网站上注册,他们就可以使用其他一些编程语言来欺骗注册。您无能为力,因此他们只能通过 Ajax 从您的站点注册。

你可以实施一些技巧,让他们难以弄清楚,但你不能让它变得不可能。他们可以欺骗引用者、加载其他页面以获取所需的 cookie/会话变量、欺骗 Ajax 请求标头等。

于 2012-07-26T23:35:01.380 回答