Является ли AHAH угрозой безопасности?

Question

Я рассматриваю возможность широкого использования AHAH в проекте и беспокоюсь о безопасности. Не может ли злоумышленник внедрить вредоносный код в мой ответ, который затем будет выполнен на клиенте? Если мой ответ AJAX - JSON, мне не нужно об этом беспокоиться, потому что, если что-то подделать с помощью JSON, больше не будет действительным.

С другой стороны. Похоже, что AHAH представляет собой больший риск, чем любой обычный запрос, отличный от https. Я что-то упускаю или какие-то другие мысли?

Answer 1

Не может ли злоумышленник внедрить вредоносный код в мой ответ, который затем будет выполнен на клиенте?

Не могли бы они сделать это на обычной странице, не содержащей Ajax?Ajax - это обычный HTTP-запрос.Здесь нет ничего нового, применяются те же правила безопасности.

Если они могут вмешиваться в HTML в AHAH, они могут вмешиваться в JSON / XML / Text в этих запросах, чтобы он действовал.

Answer 2

Существует очень мало проблем безопасности с JavaScript по сравнению с серверным кодом, таким как PHP. Одна из проблем, о которой вы должны знать в JavaScript, это Dom Based XSS .

Answer 3

Я использовал эту технику здесь и там в течение 4-5 лет и никогда не имел проблем с ней.Вы захотите знать о любых проблемах, которые могут возникнуть в любом приложении с большим количеством JS.

Если ваше приложение запрашивает данные с «xxx.com», а «xxx.com» - это не вы,или если ваш сервер испускает вредоносный HTML / javascript без вашего ведома, у вас больше проблем, чем при выборе метода передачи данных.