Lorsque nous appelons une méthode serveur avec AJAX, nous devons spécifier son nom et ses paramètres. Est-ce correct pour la sécurité? N'y a-t-il pas des préoccupations à ce sujet?Les méthodes serveur sont exposées dans AJAX: est-il sécurisé
Il y a, en effet, un problème de sécurité ici: à savoir que toute méthode que vous pouvez appeler avec AJAX peut également être appelée par un attaquant avec les arguments de son choix. Ainsi, vous devez vous assurer que toutes les méthodes ainsi exposées sont inoffensives, même si elles sont appelées malicieusement. Si vous avez besoin d'exposer des méthodes potentiellement dangereuses via AJAX, vous devez vous assurer que ces méthodes n'agiront que si l'utilisateur est correctement authentifié et que la portée des actions est limitée à l'utilisateur est autorisé à le faire. L'information d'authentification doit être transmise d'une manière qui rend difficile à un attaquant de l'intercepter, comme dans un HttpOnly cookie.
De même, ces méthodes doivent être protégées contre CSRF attacks, par laquelle un attaquant pourrait tromper un utilisateur authentifié en appelant une méthode à laquelle il n'avait pas l'intention de recourir. La solution standard consiste à transmettre un jeton d'authentification secondaire en tant que paramètre à la méthode et à autoriser uniquement l'accès si le jeton et le cookie correspondent. La version courte est: tout ce qui est exposé via AJAX est, bien, exposé. Traitez-le comme faisant partie du attack surface.