保护 AJAX 请求

【问题标题】:Securing AJAX requests保护 AJAX 请求
【发布时间】:2011-02-12 19:23:08
【问题描述】:

这是一个有点冗长的问题,但是可以采取哪些预防措施来确保 AJAX 请求更安全。一个例子是 reddit 风格的投票系统,用户可以对文章或评论投赞成票或反对票。

我需要确保机器人或用户在一段时间内不能发出超过一定数量的请求,并且不能猜测投票 URL(以解冻机器人)。

我确实看过类似的问题,但我检查的问题并没有回答我上面的问题。

如果还有什么我应该注意的,请提及。

【问题讨论】:

  • 为了澄清,这个问题在什么方面是 AJAX 独有的?无论是通过 AJAX 还是页面提交,问题(和解决方案)是否相同?
  • 你是对的。我不知道为什么我认为它会有所不同。我会投票关闭它。谢谢李布。 PS。不再需要对这个问题进行投票了。

标签: ajax security


【解决方案1】:

使用会话和 IP 记录技术。 就像一个特定的 IP 在一天(或一段时间)内可以完成多少票一样。 您可以在服务器端验证 IP 和会话。 您还可以使用任何服务器端语言来 o/p 您的 js 以插入一些安全(随机数字)。就像我们避免表单欺骗一样。

Ajax 安全性与同步表单提交安全性没有什么不同。

【讨论】:

    【解决方案2】:

    您的用户会登录您的网站吗? (我是世界上唯一一个不读 reddit 的极客,所以我不知道它是如何工作的。

    如果他们已登录,您应该能够在您的网络服务中读取他们的凭据,并跟踪他们投了多少票。如果他们没有登录,那么就完全拒绝他们的投票。

    【讨论】:

      猜你喜欢
      • 2011-02-11
      • 2019-01-25
      • 1970-01-01
      • 2010-10-25
      • 2017-03-13
      • 1970-01-01
      • 1970-01-01
      • 2015-10-06
      • 2011-01-21
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode