Question

У меня есть приложение codeigniter, в котором я делаю большинство вещей посредством вызовов ajax.Например, давайте возьмем создание учетной записи.Существует форма с четырьмя полями: имя пользователя, пароль, адрес электронной почты и номер мобильного телефона.

frm = $("signupform").serializearray();
$.post(base_url + "/auth/ajaxlogin/", frm, function(data){
                if(data==="true") {
                    window.location.reload();
                } else {
                   $("#loginresult").show(); 
                }
            });

с помощью этого сценария я позабочусь об отправке данных учетной записи в метод создания учетной записи в контроллере авторизации, создании учетной записи и входе пользователя. Но я уверен, что это очень уязвимо, скажемлюбой пользователь может написать вредоносный скрипт для непрерывного создания учетных записей в своей консоли js.Итак, каков наилучший способ обеспечить определенную функциональность, подобную этой.

Quentin · Answer 1 · 04 октября 2011

Ajax не имеет значения, что касается сервера, HTTP-запрос является HTTP-запросом.

Используйте обычные подходы для защиты от такого рода атак:

Подтверждение подтверждения участия отправлено на адрес электронной почты
Ограничение скорости
Капча (только если вышеперечисленное не обеспечивает достаточной защиты, они раздражают людей)

SW4 · Answer 2 · 04 октября 2011

Существует несколько способов обеспечения безопасности, но если вы хотите заблокировать злоупотребления отдельных пользователей, почему бы не проверить IP входящих запросов и не заблокировать повторные, поступающие с одного IP, в течение, скажем, X минут? Это не все исправит, но это дополнительный слой, который может быть добавлен с другими методологиями.

Matt Fellows · Answer 3 · 04 октября 2011

Каждая страница может выписать уникальный ключ, действительный только в течение короткого периода времени, который является частью представления.Этот ключ действителен только один раз и только в течение нескольких минут и должен быть действительным для отправки формы для использования.Конечно, ключ будет виден в источнике, но поскольку он действителен только один раз, он будет препятствовать непрерывному созданию учетной записи.

Вы также можете минимизировать и запутать свой JS, чтобы злоумышленникам было труднее атаковать ваш сайт.

обеспечить вызовы ajax для функций на стороне сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

обеспечить вызовы ajax для функций на стороне сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов