제이쿼리 아약스 데이터 포스트에 대한 보안 조언?

제이쿼리 아약스 데이터 포스트에 대한 보안 조언?

jquery ajax를 사용하여 업데이트를 서버에 다시 게시하고 있습니다.제 AJAX 콜만 데이터를 게시할 수 있도록 적절한 조치를 취했는지 확인하는 것이 걱정됩니다.

내 스택은 MySQL 백엔드에 대한 Apache의 PHP입니다.

조언해 주셔서 대단히 감사합니다!

페이지에 있는 AJAX 호출에서 요청할 수 있는 모든 요청은 응용 프로그램 외부의 다른 사람이 할 수도 있습니다.제대로 된 경우 웹 앱에서 AJAX 호출의 일부로 이루어졌는지, 아니면 손/기타 방법으로 이루어졌는지 알 수 없습니다.

AJAX 호출만 데이터를 게시할 수 있는지 확인하고자 할 때 제가 생각할 수 있는 시나리오는 두 가지입니다. 악의적인 사용자가 다른 사용자의 데이터를 방해하는 데이터를 게시할 수 없도록 하거나 실제로 게시물을 다중 요청 작업의 "흐름"에 있도록 제한하고자 할 때입니다.

첫 번째 사례(누군가가 악의적인 데이터를 다른 사용자에게 게시하는 경우)와 관련된 솔루션은 AJAX를 사용하든 사용하지 않든 동일합니다. 일반적으로 세션 쿠키를 통해 필요한 모든 수단을 통해 사용자를 인증하면 됩니다.

두 번째 경우와 관련된 경우 프로세스의 각 단계에서 고유한 토큰을 발행하고 서버 측에 예상 토큰을 저장하는 등의 작업을 수행해야 합니다.그런 다음 요청이 있으면 서버 측에 수행 중인 작업에 해당하는 항목이 있고 예상 토큰이 일치하며 해당 토큰이 아직 사용되지 않았는지 확인합니다.요청이 없으면 요청을 거부하고, 요청이 있으면 해당 토큰을 사용된 것으로 표시하고 요청을 처리합니다.

이 두 시나리오 중 하나가 아닌 다른 것이 걱정된다면, 답변은 제공한 것보다 더 구체적인 내용에 따라 달라집니다.

세션을 사용하여 모든 Ajax 게시물이 인증된 컨텍스트에서 수행되는지 확인합니다.당신의 Ajax 코드를 그저 당신의 서버의 또 다른 클라이언트로 생각하면, 인증 문제를 해결하는 것이 더 쉬워집니다.

언급URL : https://stackoverflow.com/questions/38421/security-advice-for-jquery-ajax-data-post