作者forkome (初心者)
看板Ajax
标题[问题] AJAX跨网域POST呼叫
时间Wed May 22 11:13:24 2013
各位前辈好
近日在评估ajax安全性问题
若整个页面的新增、修改、删除都用ajax来做
考量到程式码外漏,可能会被人CSRF
故测了一下跨网域呼叫,之前爬文是说浏览器会挡不同网域
但测试结果Crome / Firefox 会挡
IE 8则出现「这网页正在存取非其控制下的资讯....要继续?」
按下「是」则呼叫成功
故认为浏览器并非一定可以挡XSS
若小弟在使用ajax时,想保护程式被解读,是否有什麽方法呢?
还是说insert/delete本身就不适合使用ajax ??
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 60.249.154.130
1F:→ musie:最简单的就是检查referer..防君子不防小人 05/22 13:01
2F:→ musie:ajax要做到保密就要做one time token.. 05/22 13:02
4F:推 mrbigmouth:获取权限时 给浏览端一个乱数token 每个新增修改删除 05/22 13:40
5F:→ mrbigmouth:动作都得附上该token 伺服器在验证该token与ip与浏览器 05/22 13:40
6F:→ mrbigmouth:皆正确符合之後才真的动作 05/22 13:41
7F:→ mrbigmouth:还有所有token一定都要有时效性 05/22 13:41
8F:→ nenpow:只有我看不懂原PO的问题吗...CSRF,XSS, Cross Domain Ajax 05/22 14:39
9F:→ nenpow:程式混码应该不能混在一起讨论吧.. 05/22 14:40
10F:→ nenpow:不确定观念是否完全正确,但要防XSS或CSRF首要应该是印网页 05/22 14:49
11F:→ nenpow:时purify所有使用者自己上传的data, 另外Server可定期更换 05/22 14:51
12F:→ nenpow:JSESSIONID或其他类似cookie降低token被偷时的损失 05/22 14:52
13F:推 nenpow:和ajax或是使不使用ajax应该没有关系.. 05/22 14:59
14F:→ nenpow:而检查token,referer或ip,都比较像是给伪造来源者麻烦 05/22 15:02
15F:推 mrbigmouth:我想原po担心的是别的网站被利用来CSRF/XSS 让有权限 05/22 17:37
16F:→ mrbigmouth:的使用者乱删改他做的网站 05/22 17:37
17F:→ mrbigmouth:方法就是每次执行动作时都需要附token 使用者逛到其他 05/22 17:39
18F:→ mrbigmouth:网站时 即使能被XSS送需求到你的网站 但没有token还 05/22 17:39
19F:→ mrbigmouth:是会失败 05/22 17:39
20F:推 Seraphy:AJAX送HTML FORM的话可以藏TOKEN在FORM里 05/23 00:34
21F:→ Seraphy:送JSON的话就放在HTTP HEADER里 如果我理解问题正确的话.. 05/23 00:37
22F:→ TonyQ:AJAX 跟会被 CSRF 不是同一回事,可能但不总是 05/23 14:05
23F:→ TonyQ:你要不要直接举情境比较好讨论。 05/23 14:06
24F:→ TonyQ:说白了,你以为用 ajax 会被 CSRF 的,写成 form 就不会吗? 05/23 14:06
25F:→ forkome:T大,会只针对ajax讨论,是因为小弟用的是.net 05/24 09:26
26F:→ forkome:.net本身机制有加token保护 05/24 09:27
27F:→ forkome:我担心的确实如M大所说的 05/24 09:27
28F:→ forkome:就是javascript被解读,被伪造的资料来Insert或delete 05/24 09:30
29F:→ forkome:举例来说,加入会员的功能,若以ajax来做新增资料的动作 05/24 09:37
30F:→ forkome:而原先设计的页面写了一堆javascript验证 05/24 09:38
31F:→ forkome:但程式码被看懂後,别人直接写个新网页来丢参数到我的後台 05/24 09:39
32F:→ forkome:所以才想说使用ajax前,先请益大家如何防守 05/24 09:40
33F:→ forkome:小弟再去研究一下token的作法,感谢大家 05/24 09:43
34F:推 Seraphy:TRY HtmlHelper.AntiForgeryToken 05/24 13:47
35F:→ tyf99:要双向验证啊,不然还是会被 man in the middle 攻击.. 05/24 14:49
36F:→ nenpow:任何需要验证的资料在後端一定都需要验证一次,前端验证 05/24 14:52
37F:→ nenpow:说到底只是让使用者及时能知道自己填错资料罢了 05/24 14:53
38F:→ nenpow:铁则就是绝不能相信使用者送来的任何资料 05/24 14:54
39F:→ nenpow:各种加token的方法都只是辅助,後端塞入DB前一定要验证 05/24 14:55
40F:推 nenpow:原PO可以打开firbug或chrome的开发工具看看Browser是 05/24 14:58
41F:→ nenpow:怎麽跟後端间互动的(其实就是http request和response) 05/24 14:59
42F:→ nenpow:要伪造真的一定都做得到 05/24 14:59
43F:推 lovdkkkk:我记得 cookie 本身有绑 domain, ajax 跨 domain 也有很 05/29 08:34
44F:→ lovdkkkk:多限制, 许多安全性问题可能浏览器都帮你挡掉了, 可以先 05/29 08:35
45F:→ lovdkkkk:查一下 spec 或做一些实测并用 sniffer 检查看看 05/29 08:36
46F:→ lovdkkkk:例如像 chrome 在发 ajax 时收到 302 回应要求跳页时就是 05/29 08:38
47F:→ lovdkkkk:直接挡掉, 不帮你发跳页的 request, 这本身也是 w3c spec 05/29 08:39
48F:→ lovdkkkk:至於验证逻辑一定要以 server 为主, 前端只是贴心提示用 05/29 08:41
49F:推 jinmin88:你可以GOOGLE看看jsonp 05/29 15:44
50F:推 lovdkkkk:jsonp 基本上是在堆叠的上方用其它方式达到相同效果, 基 05/30 11:25
51F:→ lovdkkkk:本上算是 workaround...部份也需要 server 配合 05/30 11:26
52F:→ lovdkkkk:server 端没做配合的话不必担心别人用 jsonp 就会怎样的 05/30 11:34
53F:→ lovdkkkk: * 就可以把你 server 怎样 05/30 11:35
54F:→ forkome:了解,感谢前辈们指导 06/09 20:29