Какие меры безопасности следует предпринять при разработке приложения на основе ajax?

Question

Допустим, вы создавали многошаговый (5-частичный) механизм бронирования, который имел полностью работающий бэкэнд, но имел слой ajax, где вы можете пройти все 5 шагов на первоначально загруженной странице. Шаги будут:

1. введите даты и укажите информацию о наличии
2. результаты доступности, где вы можете выбрать номера
3. введите вашу информацию, включая данные кредитной карты
4. подтвердить информацию и наличие
5. информация для подтверждения для печати

Я бы предположил, что вы хотите сохранить весь сайт по протоколу https, я не совсем уверен, какие типы мер мне нужны для шифрования или защиты вызовов ajax, пока я загружаю данные и отправляю форма, содержащая информацию о кредитной карте.

Answer 1

AJAX-запросы к вашему серверу идентичны обычным HTTP / HTTPS-запросам. Злоумышленник может целенаправленно перейти к любому URL AJAX и увидеть результат. Итак, основной ответ: любой механизм безопасности, который вы бы использовали для веб-сайтов, отличных от AJAX, вы также должны применять к запросам, управляемым AJAX. Сюда входят все этапы аутентификации и авторизации для предотвращения перехвата сеанса, принудительного просмотра и CSRF.

Кроме того, при широком использовании JavaScript и AJAX вы более подвержены внедрению JavaScript. Инкапсуляция и экранирование JavaScript и JSON сложнее, чем стандартный HTML.

Наконец, есть несколько атак на XML, которые следует опасаться при использовании AJAX на основе XML, в частности, Billion Laughs Attack и XML инъекция.

В Руководстве по тестированию веб-безопасности есть глава по защите AJAX:

http://books.google.com/books?id=VmrSJ3V-s_MC&lpg=PP1&dq=web%20security%20testing%20cookbook&pg=PA197#v=onepage&q=chapter%2010&f=false

Answer 2

прочитайте это - это отлично http://www.amazon.com/Ajax-Security-Billy-Hoffman/dp/0321491939/ref=tmm_pap_title_0