Защита JSON с помощью codeigniter и проекта jQuery

Question

Я хотел бы использовать JSON, однако проблемы безопасности, связанные с использованием JSON, сдерживают меня.

Существует два основных вопроса: CSRF (подделка межсайтовых запросов) и взлом JSON / Array.

Я читал, что Double Submit the Cookie, расширяющийся из Secret Hidden Fields, является возможным решением проблемы CSRF.

Интересно, есть ли какие-нибудь дополнения для codeigniter, упрощающие таким образом процесс защиты проекта?

Любой совет будет оценен.

Answer 1

Не нужно никаких дополнений, просто сгенерируйте уникальную строку в скрытом поле формы и сохраните ее в сеансе, затем сравните значение формы, отправленное в $ _POST, со значением сеанса. Разорвать код, если они не совпадают, иначе продолжить скрипт ... Это простой процесс.

Answer 2

Для защиты вашего приложения от CSRF есть библиотека http://blog.kylehasegawa.com/codeigniter-csrf-xsrf-library, которая может помочь. Однако после выхода CI 2 вам не о чем беспокоиться - он будет включать защиту CSRF / XSRF.

Что вы подразумеваете под "использовать JSON"?

JSON сам по себе не опасен, это всего лишь способ сериализации объектов javascript. Однако при десериализации я советую вам не использовать JavaScript-функцию eval () (которая позволяет выполнять произвольный JS-код при небрежном использовании), но использовать выделенный десериализатор JSON, такой как http://www.json.org/js.html. Более новые браузеры даже поставляются со встроенными в десериализаторах JSON.

Для вопросов безопасности браузера в целом, я рекомендую прочитать http://code.google.com/p/browsersec/.