我们有一个应用程序,它有很多用于提交数据的表单。这些表单大量使用带有 JSON 的 AJAX 来将信息发布到数据库。我担心恶意用户可能会尝试通过传递 JSON 结构化数据来调用我们的 Ajax 接口的事件。php 脚本不会区分我们自己的服务器调用它还是从外部进行的调用。理论上,恶意用户可以在我们的数据库中写入内容,而无需通过我们的网站。这是一个有效的担忧吗?如果是这样,有没有办法解决这个问题?
是的,这是一个合理的担忧。OWASP 有一些很好的指导方针,你应该阅读。
我想强调的是,您 不应该依赖客户端逻辑。
HTTPS(通过 SSL/TLC 的 HTTP)是您想要的。该协议将处理服务器身份验证和(可选)客户端身份验证。您只需要在您的服务器中启用它,您将免受中间人攻击。