Lorsque nous appelons une méthode serveur avec AJAX, nous devons spécifier son nom et ses paramètres. Est-ce correct pour la sécurité? N'y a-t-il pas des préoccupations à ce sujet?Les méthodes serveur sont exposées dans AJAX: est-il sécurisé
Répondre
Il y a, en effet, un problème de sécurité ici: à savoir que toute méthode que vous pouvez appeler avec AJAX peut également être appelée par un attaquant avec les arguments de son choix. Ainsi, vous devez vous assurer que toutes les méthodes ainsi exposées sont inoffensives, même si elles sont appelées malicieusement. Si vous avez besoin d'exposer des méthodes potentiellement dangereuses via AJAX, vous devez vous assurer que ces méthodes n'agiront que si l'utilisateur est correctement authentifié et que la portée des actions est limitée à l'utilisateur est autorisé à le faire. L'information d'authentification doit être transmise d'une manière qui rend difficile à un attaquant de l'intercepter, comme dans un HttpOnly cookie.
De même, ces méthodes doivent être protégées contre CSRF attacks, par laquelle un attaquant pourrait tromper un utilisateur authentifié en appelant une méthode à laquelle il n'avait pas l'intention de recourir. La solution standard consiste à transmettre un jeton d'authentification secondaire en tant que paramètre à la méthode et à autoriser uniquement l'accès si le jeton et le cookie correspondent. La version courte est: tout ce qui est exposé via AJAX est, bien, exposé. Traitez-le comme faisant partie du attack surface.
- 1. Génération de fichiers Excel - API/Méthodes exposées?
- 2. Les méthodes de page asp.net AJAX sont-elles très sécurisées?
- 3. les données ne sont pas exposées dans Flash Builder
- 4. Sécurisé ajax formulaire POST
- 5. Service WCF sécurisé et méthodes
- 6. Appel de plusieurs méthodes exposées à l'aide de l'axe
- 7. Quelles sont les méthodes pour pirater mon propre formulaire de connexion PHP? Est-ce assez sécurisé?
- 8. Ruby - pourquoi les méthodes dans les méthodes sont mauvaises?
- 9. Les méthodes de mon objet MATLAB sont-elles exposées à partir du composant .NET compilé avec MATLAB Compiler NET?
- 10. Quelles méthodes sont exécutées en premier dans un appel AJAX?
- 11. Les fonctions dans les bibliothèques statiques, qui ne sont pas exposées dans un en-tête, sont-elles accessibles?
- 12. Comment traduire les vues exposées filtre
- 13. Les méthodes AJAX dans l'application iphone?
- 14. Pourquoi utiliser Amazon SQS lorsque des clés privées sont exposées
- 15. Canal du serveur client sécurisé
- 16. Recherche de méthodes exposées dans des bibliothèques natives pour accéder à JNA/JNI?
- 17. Les méthodes Android sont undefined
- 18. Les propriétés des éléments de ligne sont-elles exposées dans l'API Shopify Order?
- 19. Comment faire un serveur sécurisé iPhoneHTTPServer
- 20. Bouton de réinitialisation dans les formes exposées dans Drupal
- 21. Quelles méthodes d'authentification sont sécurisées sur un canal HTTP non sécurisé?
- 22. demande ajax sont acceptés dans les PhoneGap
- 23. Empêcher googlebot d'appeler les méthodes ajax
- 24. .net mvc design ajax calls (Où placer les méthodes ajax)
- 25. Où sont stockées les méthodes en mémoire?
- 26. Quels sont les inconvénients des méthodes statiques?
- 27. Les formulaires sharepoint sont-ils construits à partir d'infopath sécurisé?
- 28. les méthodes auxiliaires ne sont pas trouvées
- 29. quelles sont les méthodes déléguées disponibles UIButton
- 30. Rails méthodes ajax