假设我有一个var动态生成的(例如一个返回用户 ID 的 Facebook API 调用)。然后我想使用 jQuery 的 AJAX 将此 var 发送到我自己的服务器。
我的问题 - 这安全吗?有人可以在 AJAX 发送到我的服务器之前拦截并插入他们自己的值吗?如果这不安全,如何做这样的 AJAX 帖子?
问问题
389 次
3 回答
0
是的,除非您使用 HTTPS,否则有人可以拦截它并更改值。因此,这基本上是确保安全的解决方案,以及某种身份验证系统。除此之外,请确保您没有在该 var 中存储任何秘密,因为您的用户可以很容易地看到它的价值。
于 2013-08-18T02:42:41.083 回答
0
验证/拉取 ID 服务器端,例如http://graph.facebook.com/1303834107 :)
于 2013-08-18T09:50:01.640 回答
0
有人可以在 AJAX 发送到我的服务器之前拦截并插入他们自己的值吗?
这取决于你所说的“某人”是谁。
如果您谈论的是第三方攻击者,那么可能的攻击点是:
- 在 Facebook 的服务器和浏览器之间。如果您可以选择对该请求使用 SSL,那么这是在那里保护它的唯一方法。
- 在用户的浏览器中。这要求攻击者已经入侵了用户的计算机。您对此无能为力。
- 在浏览器和您的服务器之间。使用 SSL 来防御这种情况。
如果您谈论的是浏览器的用户,那么您无法阻止他们更改数据。用户可以完全控制他们的浏览器向您的服务器发送的内容。您唯一的防御措施是将他们的浏览器排除在外(这将涉及使用 OAuth 获得从您的服务器访问他们的 Facebook 帐户的权限)。
于 2013-08-18T09:53:46.077 回答