如何开发安全的AJAX应用

最新推荐文章于 2019-09-12 11:57:41 发布
最新推荐文章于 2019-09-12 11:57:41 发布
阅读量3.7k 收藏 14
点赞数
分类专栏: Web开发 Web Security 文章标签: ajax web应用开发 json javascript 正则表达式 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinhuiyu/article/details/4732188
版权

如何开发安全的AJAX应用

 

AJAX技术已经是现在最流行的Web应用开发技术了,但是与此同时,Web应用也成了这个IT架构中安全最薄弱,最容易受到攻击的部分,AJAX应用相比较与传统的Web应用,大大增加了客户端与服务器之间的交互,同时也使得一些后台的业务逻辑接口暴露给了客户端,如果服务器端没有足够的保护或者没有对客户端请求进行合法性校验,攻击者就会趁虚而入,进入系统内部进行破坏。开发人员如何才能在开发工程中保证AJAX应用的安全呢? 一下是我搜集资料总结出来的一些checklist和best practices,希望对大家有所帮助。

 

1. 输入校验,这一部分已经在我的上一篇blog 如何进行Web应用的安全测试和输入校验 中进行了说明,进行输入校验有两种方式,一种是Blacklisting: 就是列出所有非法的输入进行屏蔽;另外一种是Whitelisting: 就是列出合法的输入格式,只要不属于这种格式都划为非法格式进行屏蔽。安全方面来说,Whitelisting比Blacklisting有更高的安全性。

 

2. 尽量避免动态的生成和执行code, 在javascript中尽量避免使用eval函数。

 

3. 在使用json对象之前对它进行校验,因为json对象也是javascript的一部分,所以json对象里面也有可能包含有有害的代码,所以在使用之前要对json进行校验,以保证json对象是安全的,校验的方法可以使用正则表达式进行也可以使用一个json parser进行转换,然后再使用。

 

4. 在引用不可信的内容的时候尽量使用iframe的方式。

 

5. 不要一刀切的使用AJAX, AJAX的作用是提高应用的交互性,所以之需要在交互性比较强的地方才使用ajax, 其他如之需要展示信息的地方使用传统的方式安全性更高。

 

6. 尽量使交互的网络传输量最小,ajax频繁的交互不但对应用性能有影响,对安全也是很大的隐患,所以要尽可能在最需要的地方使用ajax, 不要用ajax执行大的局部刷新操作

 

7. 最后可以使用一些ajax的安全检查工具进行检查。

 

 

 

 

jinhuiyu
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Ajax安全技术
06-14
在书中还讲到保护Ajax应用的特殊方法,包括每种主要Web编程语言(.NET、Java和PHP)及流行新语言RubyonRails。 《AJAX安全技术》一书对AJAX安全这一未开发领域进行了非常严谨、彻底的探讨。每个AJAX工程师都应该去...
从前端角度看ajax如何保护接口的安全
diaolanbeng0962的博客
05-16 546
一、前言   在web中,使用Ajax调用API,撇开跨域不讲,怎么做安全验证,防止别的网站调用呢?假设没有做安全保障,任何用户都可以直接访问接口,这回暴露出极大的安全隐患。 二、后端怎么做?   1、一些接口强制用户必须登录,通过查看sessionId来做判别,没登录则不返回数据或者返回401或者403;   2、cookie校验+session;   3、通过判断refer...
API接口安全性设计思路
恒之传说
03-19 7809
API接口安全性设计思路
Ajax应用安全性小结
软件与项目管理
02-12 94
Ajax应用安全性进行一下小结: 1.基于各浏览器的server of origin策略,有效防止了js脚本访问可能存在危险的第三方脚本。 2.可以通过用户授权放松server of origin策略的限制,前提是用户必须清楚第三方服务是安全的。 3.在传输敏感数据时,可以采用https,但因为server of origin策略认为http和https是两个不同域,所以需要注意这个问题...
前后端API交互如何保证数据安全性?
我的笔记
12-24 1541
收集大神:https://blog.csdn.net/ityouknow/article/details/80603617 http://www.cnblogs.com/yinliang/p/8336596.html https://blog.csdn.net/qq_33611068/article/details/80450999 https://blog.csdn.net/itmyhom...
基于Ajax技术的Web 2.0开发应用
07-30
Ajax技术的出现将基于Web应用程序开发带进了一个全新的阶段,但Ajax主要是基于JavaScript的客户端技术,所以客户端的开发显得越来越臃肿,随之而来的安全性等一系列问题有待进一步研究。
Ajax安全技术》PDF
08-19
在书中还讲到保护Ajax应用的特殊方法,包括每种主要Web编程语言(.NET、Java和PHP)及流行新语言Ruby on Rails。 《AJAX安全技术》一书对AJAX安全这一未开发领域进行了非常严谨、彻底的探讨。每个AJAX工程师都应该去...
AJAX请求是否真的不安全?谈一谈Web安全AJAX的关系
10-18
Ajax中没有固有的安全漏洞,但是对该技术向量的适配显著地改变了网络应用开发途径以及方法论。AJAX请求的安全性是大家经常会谈论的一个话题,AJAX请求是否真的不安全?下面这篇文章就来给大家详细谈一谈Web安全与...
API接口安全性设计
记录
10-28 8573
接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。...
接口api开发安全性问题
华章酱的博客
04-26 6034
所谓接口,就是类似http://Example.com/index.php?module=users&action=info&user_id=333的请求,然后服务器端直接根据user_id来做相应的会员操作,这是及其危险的接口处理,等于把当前的会员系统全暴露出来了,只要对方改一下user_id既可操作所有会员对应的接口。一般在PC端,我们是通过加密的cookie来做会员的辨识和维...
Ajax请求安全性讨论
weixin_30270889的博客
07-23 178
今天我们来讨论一下ajax请求的安全性,我相信各位在系统开发过程中肯定会绞尽脑汁的想怎样可以尽量少的防止伪造ajax请求进行攻击,尤其是开发跟用户交互比较多的互联网系统。那么就请大家来分享讨论一下你在开发过程中怎样考虑ajax安全及防止ajax请求攻击的问题。我也是一个新手,就先抛砖引玉了,写的不对的地方欢迎批评指正。 我先上两段网摘: Ajax安全防范的方法: 判断requ...
vue ajax获取数据的时候,如何保证传递参数的安全或者说如何保护api的安全
lxw1844912514的博客
12-19 1134
https://segmentfault.com/q/1010000005618139 vue ajax获取数据的时候,如何保证传递参数的安全或者说如何保护api的安全 点击提交,发送请求。但是api:123用于加密的参数,直接暴露了。右键源代码就可以看到 <body> <div class="row"> <div...
谈谈AJAX安全性及AJAX安全隐患
hududanyzd
12-31 412
  Web开发者不会注意到由 “AJAX(Asynchronous JavaScript And XML)”所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web应用程序,这在很大程度上要归功于这种技术。然而,伴随着AJAX应用程序的发展,我们发现了它的一些不足之处,我们发现它的安全漏洞也在逐渐变大,就像慢慢地把基于AJAX的站点放入了一颗定时中...
ajax api接口的安全调用
weixin_30455365的博客
12-29 386
1,用户要注册登录,才能调用,session验证。 2,token令牌——登录之后,生成返回token,所有请求必须加上token验证,退出后失效。 3,过载保护——一段时间内,限制ajax的请求数量。请求过多,封ip,mac 4,异常封装——将服务可能出现的异常做统一封装,返回固定的code与msg,防止程序堆栈信息暴露。 5,数据安全——使用 https或者前端数据加密,后端数据解密!...
HTTP利用API接口,解密生意参谋
weixin_44435602的博客
09-12 6544
请求头transit-id: http://app.miiow.com.cn:8181/ajaxApi.ashx/@/dontlogin/sycm/transit-id?userId=00000000&showType=sample http://app.miiow.com.cn:8181/ajaxApi.ashx/@/dontlogin/sycm/transit-id?userId=00...
h5+api接口安全和加强接口接收数据的安全
热门推荐
ltjy_admin的博客
05-24 1万+
api接口安全通俗易懂的意思就是保证接口接收到的数据不是被篡改的,防止信息泄露造成损失。那如何要加强接口的安全性呢?一、数据加密        把h5生成的数据加密(我用的是对称加密,加密还有非对称加密),第三方加密类放到tp5框架下的extend文件夹下(我是用tp5框架做的,就以tp5框架举例了^_^),用第三方类要配好命名空间哦,加密算法可以看看这个https://blog.csdn.net...
apiCloud中api.ajax方法跨域传参获取数据
weixin_33863087的博客
10-11 454
apiCloud中的ajax方法,可以自动处理跨域访问数据,不必使用jsonp来处理了。 使用ajax方法,必须要在apiready = function() {}方法中 获取参数 var pageParam = api.pageParam; var goods_id = JSON.stringify(pageParam.goods_id); ajax获取数据,可以传参数 // ...
Web Api安全性设计
Fanbin168的专栏
03-29 6530
分布式通讯框架-->一个系统要访问另外一个系统中的数据,有一下三种方法,第一种分为2种 1.0 ,MVC Webapi  (严格的讲它其实仅仅是一个设计方案,而不是一个设计框架,Webapi流行的标准RESTfu) (也需要做安全性设计) 1.1 , 自己写一个.ashx一般处理程序 (它其实就是提供一个url供别人调用,这个url返回一个xml或者一个Json格式的数据,但是
基于ajax的多层架构开发项目
最新发布
08-09
### 回答1: 基于 AJAX 的多层架构开发项目,需要考虑以下几个方面: 1.前端技术 前端技术包括 HTML、CSS、JavaScript 等,其中 JavaScriptAJAX 技术的核心。可以使用 jQuery、Vue.js、React 等前端框架来简化开发。 2.后端技术 后端技术可以选择 PHP、Java、Python 等语言,使用框架例如 SpringMVC、Django、Flask 等来实现数据的处理和存储。 3.AJAX 技术 AJAX 技术可以通过 XMLHttpRequest 对象来实现。通过 AJAX 可以异步地请求后端数据,并将数据插入到前端页面中,从而实现无刷新的页面交互效果。 4.多层架构 多层架构包括表现层、业务逻辑层和数据访问层。表现层负责前端页面的展示和交互,业务逻辑层负责业务逻辑的处理,数据访问层负责数据的存储和访问。 在多层架构中,前端页面通过 AJAX 技术向业务逻辑层发起请求,业务逻辑层处理请求并访问数据访问层,最终将处理结果返回给前端页面。 综上所述,基于 AJAX 的多层架构开发项目需要掌握前端技术、后端技术、AJAX 技术和多层架构的相关知识。 ### 回答2: 基于Ajax的多层架构开发项目是一种基于Web应用程序开发模式。它将应用程序的不同层次分离开来,包括展示层、业务逻辑层和数据访问层,并通过Ajax(Asynchronous JavaScript and XML)技术实现前后端之间的数据交互和异步通信。 该多层架构开发项目具有以下特点: 1. 分离前后端:通过Ajax技术,前端页面与后端服务器之间的数据交互可以实现无需刷新页面的异步通信,提高用户体验。前端使用JavaScript异步请求数据并将结果动态更新到页面上,后端则负责处理请求并返回所需数据。 2. 提高响应速度:由于Ajax的异步特性,前端可以同时发送多个请求,从而减少页面加载时间和数据传输时间。用户能够迅速地获取数据,同时可以在等待数据的同时进行其他操作。 3. 可重用性和可维护性:将应用程序的不同层次分离开来,使得各个层次的代码更清晰、更易于维护。开发人员可以专注于各自层次的开发,降低代码耦合度,提高代码重用性。 4. 安全性增强:通过Ajax技术,可以减少对敏感数据的暴露,因为只有在用户请求数据时才会传输相关数据,提高了应用程序的安全性。 5. 提供更好的用户体验:通过无需刷新页面的数据更新,用户能够更快地获取所需信息,并能够在页面上进行实时交互,提高了用户的满意度和使用体验。 总之,基于Ajax的多层架构开发项目能够提供更好的用户体验、提高响应速度、增强应用程序的安全性,并且具有良好的代码结构和可维护性,是一种值得推荐的开发模式。 ### 回答3: 基于Ajax的多层架构开发项目是一种用于构建Web应用程序的技术方案。它将应用程序的不同部分划分为多个层次,每个层次负责不同的功能和任务,通过Ajax技术进行交互和通信。 这种架构一般由以下几层组成: 1. 表示层:负责将用户界面展示给用户,并接收用户的交互请求。通常使用HTML、CSS和JavaScript编写,可以实现动态内容的呈现和用户界面的交互。 2. 业务逻辑层:负责处理用户请求并进行业务处理。它包含了应用程序的核心逻辑,处理用户的操作和请求,并与数据访问层进行交互。这一层通常使用服务器端的脚本语言(如PHP、Python或Java)来实现。 3. 数据访问层:负责与数据库进行数据的读取、写入和更新操作。通过与数据库进行交互,将数据传递给业务逻辑层进行处理,并将处理结果返回给表示层。在这一层,可以使用SQL语言编写数据库操作语句。 4. 数据库层:负责存储应用程序的数据。可以使用关系型数据库(如MySQL、Oracle)或非关系型数据库(如MongoDB)来存储数据。 通过Ajax技术,这些不同层次的组件可以实现快速、无刷新的数据交互。在用户与应用程序进行交互时,表示层可以通过Ajax技术发送异步请求到业务逻辑层,业务逻辑层再与数据访问层进行交互,最后将结果返回给表示层用于页面的更新。 基于Ajax的多层架构开发项目具有以下优势: 1. 增强用户体验:通过Ajax技术,实现了快速响应和无刷新的数据更新,提高了用户与应用程序的交互体验。 2. 解耦合性:通过将应用程序的不同部分划分为多个层次,实现了各组件之间的解耦合,方便维护和扩展。 3. 可重用性:每个层次只负责特定的功能和任务,可以实现组件的重用,提高开发效率。 4. 安全性:通过合理的权限控制和加密机制,保障了数据的安全性。 综上所述,基于Ajax的多层架构开发项目可以提升Web应用程序的性能、可维护性和用户体验,并提供了一种灵活可扩展的架构设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值