Ajax Security (2) - Eric Pascarello的访谈

最新推荐文章于 2022-01-26 16:18:32 发布
最新推荐文章于 2022-01-26 16:18:32 发布
阅读量80 收藏
点赞数
分类专栏: Web 2.0 文章标签: Security Ajax 应用服务器 JavaScript 笑话 ViewUI
以下内容参考自: http://searchwebservices.techtarget.com/qna/0,289202,sid26_gci1164745,00.html

这篇文章说的是对Eric Pascarello的一次访问的内容。Eric Pascarello是Ajax In Action的作者之一。

Eric Pascarello首先不认为XMLHttpRequest增加了太多的安全问题。因为XMLHttpRequest也不过是一个普通的表单提交。不使用XMLHttpRequest,而是普通的表单提交的话。我们一样可以通过查看页面的源代码来查看表单的action地址,获取提交的参数等。

Eric Pascarello强调了服务器验证的重要性。任何客户端的验证,比如disabled,read-only和hidden元素只是一个笑话。在浏览器地址栏中输入javascript:document.FormName.ElementName.disabled=”false”;void(0);  那些受保护的页面元素的属性就更改了。没有数据是安全的,所以服务器验证很重要。

Ajax的确引入新的问题,如果开发人员设计了很差的Ajax控件的话,很容易引起服务器崩溃。比如类似Google Suggest这样的应用,如果不在客户端和服务器做cache,原来是用户输入完成之后才提交请求,现在是用户每输入一个字就提交查询,不缓存的话,查询的数目就增大了数倍。

Eric Pascarello最后说到的是关于跨域的请求(cross-domain request),这会带来很多问题,应该尽量避免。如果的确需要的话,比如调用第三方提供的服务,就需要小心谨慎。

Pascarello’s Rules of Thumb for Ajax Security:

  1. If you use user authentication, make sure you check for it on the request page!
  2. Check for SQL injections.
  3. Check for JavaScript injections.
  4. Keep the business logic on the server!
  5. Don’t assume every request is real!
  6. Check the data with validation!
  7. Look at the request’s header information and make sure it is correct.
成富
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ajax 设置 multipart/form-data,如何在ajax中发送multipart / form-data请求
weixin_33001561的博客
08-06 4317
以下功能不起作用。我想上传多个文件&请求由ajax提交。内容类型出现“text / plain; charset = UTF-8”我想更改内容类型=“multipart / form-data”以下功能如下所示.plz提供任何建议function importNow(serverURL, parameters) {document.body.style.cursor = "wait";$....
Ajax in Action - Dave Crane & Eric Pascarello.pdf
01-25
Ajax in Action helps you implement that thinking--it explains how to distribute the application between the client and the server (hint: use a "nested MVC" design) while retaining the integrity of the...
ajax--- content-type
weixin_43390711的博客
06-10 4537
一、(jquery ajax)设置发送给后台的数据格式为标准的json格式 contentType和JSON.stringfy一起使用 $.ajax({ type:'post', url:'/xxx', contentType:'application/json', data: JSON.stringify(params), success:function (data) { } }) 二、contentType的认识 1、常用的几种值: app
AJAX之x-request-with请求头
lixld的专栏
08-29 5615
Ajax之X-Requested-With请求头 转载▼        X-Requested-With请求头用于在服务器端判断request来自Ajax请求还是传统请求。      两种请求在请求的Header不同,Ajax 异步请求比传统的同步请求多了一个头参数           1  传统同步请求参数     accept  text/html,ap
ajax跨域-ContentType为application/json-以及security-constraint安全约束标签
king1701007的专栏
01-26 4049
ajax跨域-ContentType为application/json-以及security-constraint安全约束标签ContentType:application/json的特殊点Preflight 403options小意外 ContentType:application/json的特殊点 前台使用ajax,如果在调用后台接口中设置contentType: “application/json;charset=utf-8”,则无法访问到后台。 通过浏览器控制台查看到在network中发送了两次请求
Content-Security-Policy的实战应用
冷故事的博客
07-04 5097
今天在浏览微信页面的时候,发现他的script标签上都有个once属性,好奇之下查阅了一番,发现这个属性是和一个http header Content-Security-Policy有关,这个header不看不知道,一看吓一跳啊,一把利器啊 1. 同源限制 首先我们要知道web浏览器为了安全都有会同源限制,什么是同源限制?就是来自 https://mybank.com 的代码应仅能访问 htt...
看这一篇就够了!-Ajax详解
热门推荐
Oriental_的博客
03-15 16万+
今天来聊一聊前后端交互的重要工具Ajax 结合上次跟大家分享的前后端交互基础,如果还没有看过的童鞋,以下是传送门 前后端交互详解 AJAX - 到底什么是Ajax? ajax 全名 async javascript and XML 是前后台交互的能⼒ 也就是我们`客户端给服务端发送消息的⼯具,以及接受响应的⼯具 是⼀个 默认异步执⾏机制的功能AJAX分为同步(async = false...
Ajax请求中Content-Type的几种类型
mrhanzhou5273的博客
11-26 9420
HTTP 协议是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范。规范把 HTTP 请求分为三个部分:状态行、请求头、消息主体。协议规定 POST 提交的数据必须放在消息主体(entity-body)中,但协议并没有规定数据必须使用什么编码方式。实际上,开发者完全可以自己决定消息主体的格式,只要最后发送的 HTTP 请求满足上面的格式就可以。 1. 表单格式 form的enctype属性可以用于指定编码方式,常用有两种表单编码方式(即contentType的两种取值): applica
ajax 设置Access-Control-Allow-Origin实现跨域访问
u010716097的专栏
05-27 4073
ajax跨域访问,可以使用JSONP方法来解决,但是这种JSONP只支持GET方式,即使用jQuery的jsonp方法,type设为POST,最终还是使用的还是GET。 后来查询到通过设置Access-Control-Allow-Origin来实现跨域访问比较简单。 例如:客户端的域名是www.client.com,而请求的域名是www.server.com 在被请求的Respons
前端设置Content-Security-Policy
petterDong的博客
06-05 2万+
Content-Security-Policy 1.什么是 Content-Security-Policy? 首先W3C的官方解释链接 Content-Security-Policy MDN的链接配置 Content-Security-Policy 简单来说: 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本. CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只
Ajax-national-security-project.zip
09-17
Ajax-national-security-project.zip,面向国家安全的地理信息网络平台,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新...
uni-ajax:uni-app的轻量级HTTP客户端
02-04
NPM # 如果您的项目是HBuilder X创建的,根目录又没有package.json文件的话,请先执行如下命令:# npm init -y# 安装npm install uni-ajax# 更新npm update uni-ajax :croissant:实例新建ajax.js文件(文件名可...
Ajax 设置Access-Control-Allow-Origin实现跨域访问
10-20
主要介绍了Ajax 设置Access-Control-Allow-Origin实现跨域访问,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Ajax-ajax-contact-form-wordpress.zip
09-17
Ajax-ajax-contact-form-wordpress.zip,wordpress的联系人表单,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中网页的小部分在不重新加载...
Scratch自制:《袁坤》1.0版本半成品公开展示、测试
最新发布
07-17
Scratch自制:袁坤1.0版本半成品公开展示、测试 由作者制作的另一款C++游戏:文字版《袁坤》改编的同名之作,内容丰富,将在C++版本的基础上进行做出些许改动,并不断创新,使游戏内容、剧情更加生动。 ——袁神派蒙“工作室” Ps:作者饼画的很大,后续将游戏完全制作完成可能还需要一段时间,Because作者是学生,前段时间刚分班考完,才腾出的时间进行创作,再次感谢粉丝们对袁神派蒙的支持!
出入库报表(实时库存)-Excel 模版
07-17
【作品名称】:出入库报表(实时库存)-Excel 模版 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
basemap-1.1.0-cp36-cp36m-win_amd64.whl
07-17
basemap-1.1.0-cp36-cp36m-win_amd64.whl
popt-devel-1.18-8.el9.i686
07-17
popt-devel-1.18-8.el9.i686
AJAX--- 前后端数据交互
08-24
AJAX (Asynchronous JavaScript and XML) 是一种用于前后端数据交互的技术。它允许在不刷新整个页面的情况下,通过异步方式向服务器发送请求并获取响应数据。 使用 AJAX 可以实现以下功能: 1. 发送异步请求:通过 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值