作者fillano (冒牌费大公)
看板Ajax
标题Re: [讨论] Ajax的安全性?
时间Fri May 8 10:04:49 2009
不要单纯从ajax考虑。
简单地说,後端程式必须假设,後端程式有可能被任何人用任何方式来request
必须这样考量,然後做设计,才能确保你的目的能达成
另外,referer只是安心用的,从http的观点,他只是header的一个栏位,我爱填什麽
都可以喔
通常网站容易出现的弱点,在於让使用者可以自行输入html、style以及javascript,
如果网站有这样的机制,那要考虑周全。最近twitter api就出了不少纰漏。
--
Sapere Aude! 这就是启蒙运动的口号!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 60.250.95.16
1F:→ Talkinghand:推~~~ 最简单的做法就是server每次都检查登入 05/15 23:42
2F:→ TonyQ:检查refer当然是防君子不防小人啦.:p 05/16 02:37
3F:→ TonyQ:开放script时 , 通常免不了xss的风险 ... 05/16 02:38