作者fillano (冒牌費大公)
看板Ajax
標題Re: [討論] Ajax的安全性?
時間Fri May 8 10:04:49 2009
不要單純從ajax考慮。
簡單地說,後端程式必須假設,後端程式有可能被任何人用任何方式來request
必須這樣考量,然後做設計,才能確保你的目的能達成
另外,referer只是安心用的,從http的觀點,他只是header的一個欄位,我愛填什麼
都可以喔
通常網站容易出現的弱點,在於讓使用者可以自行輸入html、style以及javascript,
如果網站有這樣的機制,那要考慮周全。最近twitter api就出了不少紕漏。
--
Sapere Aude! 這就是啟蒙運動的口號!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 60.250.95.16
1F:→ Talkinghand:推~~~ 最簡單的做法就是server每次都檢查登入 05/15 23:42
2F:→ TonyQ:檢查refer當然是防君子不防小人啦.:p 05/16 02:37
3F:→ TonyQ:開放script時 , 通常免不了xss的風險 ... 05/16 02:38