在很多地方(Google、Yahoo、Stack Exchange...)我发现 Ajax 编码(例如 php+Ajax 登录系统)不是,而且不够安全。很多人都对 Ajax 安全性有所保留,而且在任何地方都找不到安全 Ajax 代码的示例。
同时,所有这些网站(甚至 Facebook、Twitter...)都使用大量 Ajax 代码,用于注册和登录用户、评论功能等。似乎是最高机密的事情。
那么,有人可以展示一个安全的 php-Ajax 代码示例吗?
AJAX 请求就像普通的浏览器请求一样,只是在后台。因此,如果您通常有一个将数据发布到 checklogin.php 的登录表单,您可以使用 AJAX 执行相同的操作,并且同样安全。
要记住的另一件事是跨站点 javascript 调用。例如,当您在 facebook 上创建应用程序以从/向您的服务器传输数据时使用此功能。必须对这些请求进行签名,以确保数据来自有效来源。这是通过使用秘密和公钥来完成的。这些站点使用oauth来处理这些请求。您也可以在自己的站点中实现此功能,但对于任何常规身份验证(登录/发布消息/等),都不需要此功能。如果是常规请求,只需像您一样编写代码。