Асинхронный Javascript и XML (AJAX) - один из последних методов, используемых для разработки веб-приложения inorder, чтобы обеспечить богатый пользовательский интерфейс. Поскольку это новая технология, существует множество проблем безопасности, которые еще предстоит выполнить, и ниже приведены несколько проблем безопасности в AJAX.

  • Поверхность атаки больше, так как есть больше ресурсов для защиты.
  • Он также предоставляет внутренние функции приложений.
  • Невозможность защитить информацию и сеансы аутентификации.
  • Между клиентской и серверной сторонами существует очень узкая линия, поэтому есть возможности совершать ошибки безопасности.

Профилактические механизмы

Клиентская сторона:

  • Используйте .innerText вместо .innerHtml.
  • Не используйте eval.
  • Не полагайтесь на логику клиента для обеспечения безопасности.
  • Избегайте писать код сериализации.
  • Избегайте создания XML динамически.
  • Никогда не передавайте секреты клиенту.
  • Не выполняйте шифрование на стороне клиента.
  • Не выполняйте проверку безопасности на стороне клиента.

Серверная сторона:

  • Используйте защиту CSRF.
  • Избегайте писать код сериализации.
  • Сервисы могут вызываться непосредственно пользователями.
  • Избегайте создания XML вручную, используйте фреймворк.
  • Избегайте создания JSON вручную, используйте существующую инфраструктуру.