Вопросы безопасности AJAX

Question

Я надеялся прояснить некоторые вопросы, которые у меня были с безопасностью AJAX. Вот сценарий, который я пытаюсь обернуть вокруг себя.

Допустим, я использую AJAX, чтобы запросить какой-нибудь полу-чувствительный материал на странице Например, я собираюсь передать идентификатор пользователя в php-файл и вернуть некоторую информацию о себе. Теперь, что мешает кому-то эмулировать этот Javascript-запрос и передавать различные идентификаторы в скрипт PHP?

• Есть ли что-нибудь, что сервер делает, чтобы этого не происходило?
• Распознает ли DOM Javascript, который был «изначально» на месте,
  или написанный сервером, в отличие от клиентской части Javascript?
• Какие еще проблемы безопасности при использовании AJAX для запроса конфиденциальных материалов?
• Я использую suPHP, это как-то влияет в подобных ситуациях?

Answer 1

Ajax-вызов точно идентичен любому другому HTTP-запросу, который вы делаете, за исключением того, что он асинхронный (он не перезагружает веб-браузер).Поэтому вам следует использовать любую аутентификацию, которую вы используете на своем веб-сайте.

Это может быть встроенная защита Windows, файлы cookie и т. Д. В основном ваш PHP-скрипт просто должен проверить, что запрос поступил от действительного пользователя.вашего заявления.

Answer 2

AJAX по своей сути не подлежит защите. Вы не можете одновременно сделать ресурс доступным для удаленного использования и сохранить его в полной безопасности. Не существует 100% надежного метода для определения того, поступил ли запрос от вашего клиентского JavaScript или это кто-то подделывает запрос.

Самое большее, вы можете сделать это более трудным / утомительным, чтобы делать такое подделку.