经常看到在项目中ajax post提交数据到服务器不加防伪标记,造成CSRF攻击,在ajax提交数据的时候,可以添加令牌环,进行数据提交的安全验证,这样可以防止CSRF攻击,提高网站的安全性。
有很多程序员在进行项目开发的时候,对应数据删除和修改的时候,只传递一个Id到数据层,进行返回数据是不够的,这样容易被有恶意的人,直接通过修改Id进行数据改动,最好是数据删除和修改的时候,传递用户id,判断此信息是否属于当前用户,如果属于此用户,就进行数据改动;还有对id进行数据加密,传递到后台进行数据解密,这样也在一定程度上对安全起到防范作用。