摘要:
在开发过程中怎样考虑ajax安全及防止ajax请求攻击的问题。先上两段网摘:Ajax安全防范的方法:判断request的来源地址。这样的方式不推荐,因为黑客可以更改http包头,从而绕过检测。采用验证码。也不推荐,请各位大大想一下用户的感受,刚输入用户名就让我输入注册码?这样Ajax意义何在?给一个IP在一个小时内,分配一些份额,比如500个(考虑到网吧等等多台机器一个IP,使用NAT的地方)。Ajax安全性经验法则:如果你使用身份验证, 确定你在请求页上检查!为 SQL 注入检查。为 JavaScript 注入检查。保留商务逻辑在服务器上!不要假设每个请求是真正的!确认检查数据!审查请求的数 阅读全文
