私はAJAXのセキュリティに関するいくつかの質問をクリアしたいと考えていました。だからここに私の頭を包み込むことを試みているシナリオがあります。AJAXセキュリティに関する質問
私はAJAXを使用して、半感度の高い素材をページにリクエストしています。たとえば、私はユーザーのIDをPHPファイルに渡し、自分に関するいくつかの情報を返します。さて、誰かがこのJavascriptリクエストをエミュレートするのを止めて、別のIDをPHPスクリプトに渡すのは何ですか?
Ajax呼び出しは、非同期(Webブラウザをリロードしない)以外は、他のHTTP要求とまったく同じです。だからあなたはあなたのWebサイトで現在使っている認証を使うべきです。
これは、Windows統合セキュリティ、クッキーなどのいずれかになります。基本的には、PHPスクリプトはリクエストがアプリケーションの有効なユーザーからのものであることを確認するだけです。
AJAXは本質的にセキュリティ保護されていません。リソースをリモートで使用できるようにし、完全に安全に保つことはできません。リクエストがクライアント側のjavascriptから来たのか、それともリクエストを偽ったのかを識別するための100%信頼できる方法はありません。
ほとんどの場合、このような偽造を行うのは難しくなります。
ユーザがログインした後でリクエストが発生した場合、AJAXでリクエストされたPHPファイルが出力される前にSESSIONチェックを行う必要がありますか?もしそうならスクリプトを終了させますか? – grep
"クライアントサイドのJavaScriptからリクエストが入ったのか、それともリクエストを偽ったのかを識別するための100%信頼できる方法はありません。 - 確かにあります。ブラウザはAjaxリクエストですべてのCookieを送信し、PHP側ではユーザーの$ _SESSIONにアクセスできるため、他のページと同じように通常の認証が必要です。 – AndrewR
@andrewr:ユーザーが自分のリクエストを偽ったり、セッショントークンを盗まれたり、CSRF経由でajaxリクエストを発したりすることはできません。 –
'AJAX'は' PHP'ファイルにアクセスするためにクロスドメインに行くことができません。 – Phil
これを回避するには、クロスドメインのものを実行してAJAXに渡すPHPスクリプトを書いてください – Im0rtality
これは私がここで読んできたものですか? http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_XMLHttpRequest – grep