Асинхронный Javascript и XML (AJAX) - один из последних методов, используемых для разработки веб-приложения inorder, чтобы обеспечить богатый пользовательский интерфейс. Поскольку это новая технология, существует множество проблем безопасности, которые еще предстоит выполнить, и ниже приведены несколько проблем безопасности в AJAX.
- Поверхность атаки больше, так как есть больше ресурсов для защиты.
- Он также предоставляет внутренние функции приложений.
- Невозможность защитить информацию и сеансы аутентификации.
- Между клиентской и серверной сторонами существует очень узкая линия, поэтому есть возможности совершать ошибки безопасности.
Профилактические механизмы
Клиентская сторона:
- Используйте .innerText вместо .innerHtml.
- Не используйте eval.
- Не полагайтесь на логику клиента для обеспечения безопасности.
- Избегайте писать код сериализации.
- Избегайте создания XML динамически.
- Никогда не передавайте секреты клиенту.
- Не выполняйте шифрование на стороне клиента.
- Не выполняйте проверку безопасности на стороне клиента.
Серверная сторона:
- Используйте защиту CSRF.
- Избегайте писать код сериализации.
- Сервисы могут вызываться непосредственно пользователями.
- Избегайте создания XML вручную, используйте фреймворк.
- Избегайте создания JSON вручную, используйте существующую инфраструктуру.
0 комментариев