对Ajax应用的安全性进行一下小结:
1.基于各浏览器的server of origin策略,有效防止了js脚本访问可能存在危险的第三方脚本。
2.可以通过用户授权放松server of origin策略的限制,前提是用户必须清楚第三方服务是安全的。
3.在传输敏感数据时,可以采用https,但因为server of origin策略认为http和https是两个不同域,所以需要注意这个问题。
4.对于简单的应用,可以不采用https,转而使用js来对密码等数据进行公钥密钥的加密,服务端记住这次的公钥来解密,每次请求都服务器都会生成不同的公钥。
5.Ajax应用的服务端服务接口的安全性。暴露有限的web服务和api,服务端程序进行严格的校验,防止恶意破坏服务的完整性;也可以通过http的头信息由服务端程序进行过滤,限制可访问的方式和对象。
1.基于各浏览器的server of origin策略,有效防止了js脚本访问可能存在危险的第三方脚本。
2.可以通过用户授权放松server of origin策略的限制,前提是用户必须清楚第三方服务是安全的。
3.在传输敏感数据时,可以采用https,但因为server of origin策略认为http和https是两个不同域,所以需要注意这个问题。
4.对于简单的应用,可以不采用https,转而使用js来对密码等数据进行公钥密钥的加密,服务端记住这次的公钥来解密,每次请求都服务器都会生成不同的公钥。
5.Ajax应用的服务端服务接口的安全性。暴露有限的web服务和api,服务端程序进行严格的校验,防止恶意破坏服务的完整性;也可以通过http的头信息由服务端程序进行过滤,限制可访问的方式和对象。