私はJavaScriptライブラリで作業しています。私はそれを使用している誰でも私のサーバーにリクエストを行うことができます。 これはアクセス制御許可元のメソッドヘッダーをサーバーレスポンスに追加したためです。http access-control-allow- *を使用したAJAXとサーバーセキュリティ
Thigsは問題なく動作しますが、私の質問は次のとおりです。私のサーバーは安全ですか?私が考慮に入れることができる他の意味がありますか?
ありがとうございます。
サーバー上のコードほど安全です。テーブルを削除できるAJAXリクエストを人々が送信できるようにすると、それは安全ではありません。しかし、Webサイト/スクリプトセキュリティのベストプラクティスに従えば、サーバーが通常行う他の要求を処理するのと同じくらい安全です。
匿名ユーザーがあなたのサーバーに変更を加えることができます(投票カウンタの追加、コメントの投稿、投稿の削除など)できますか?もしそうなら、あなたがコントロールしていないウェブサイトが、あなたのサイトのこの機能をユーザーの一部または全員に利用させるようにするのは重要ですか?アクセス制御ヘッダーはリモートXHRがそれらの要求をすることを許可しますか?もしそうなら、問題があります。
既知のユーザーがサーバーを変更できますか?もしそうなら、あなたがコントロールしていないウェブサイトがあなたのサイトのこの機能を利用しているユーザーの一部または全員に影響を与えるかどうかは重要ですか?アクセス制御ヘッダーはリモートXHRがそれらの要求をすることを許可しますか?アクセス制御ヘッダーは、認証メソッド(クッキーなど)を介して許可しますか?もしそうなら、問題があります。要するに
: