3

我们有一个应用程序,它有很多用于提交数据的表单。这些表单大量使用带有 JSON 的 AJAX 来将信息发布到数据库。我担心恶意用户可能会尝试通过传递 JSON 结构化数据来调用我们的 Ajax 接口的事件。php 脚本不会区分我们自己的服务器调用它还是从外部进行的调用。理论上,恶意用户可以在我们的数据库中写入内容,而无需通过我们的网站。这是一个有效的担忧吗?如果是这样,有没有办法解决这个问题?

4

2 回答 2

1

是的,这是一个合理的担忧。OWASP 有一些很好的指导方针你应该阅读。

我想强调的是,您 不应该依赖客户端逻辑

于 2013-06-07T23:31:54.663 回答
1

HTTPS(通过 SSL/TLC 的 HTTP)是您想要的。该协议将处理服务器身份验证和(可选)客户端身份验证。您只需要在您的服务器中启用它,您将免受中间人攻击。

于 2013-06-07T23:32:34.537 回答