那些遇到过的问题

AJAX:单页应用程序结构/安全性

Dan*_*cco 5 javascript php security ajax xmlhttprequest

我正在使用AJAX开发Web /移动应用程序.该应用程序有4个页面:登录的一个和3个受保护的页面仅显示给登录的用户.

我打算使用单页应用程序模式,因此将立即加载所有4个页面,每个页面都在其自己的DIV ID中,并且最初只能看到登录页面.

一旦用户输入他的用户/通行证,我就创建了一个XMLHttpRequest并与内部PHP脚本进行通信,后者又使用预准备语句来检查数据库中是否存在用户/通道,并向XMLHttpRequest返回true或false.

如果结果为true,那么我将使受保护的DIV可见并从服务器加载必要的数据,创建另一个XMLHttpRequest并通过另一个PHP脚本与数据库连接.当用户在其他受保护页面之间导航时,重复此步骤.我还计划使用XMLHttpRequest /内部PHP脚本实现cookie以保持用户登录.

下面是描述该过程的图像.

问题:

  • 这个结构看起来不错吗?可能出现的任何问题我都没预见到?
  • 结构安全吗?我可以用任何方法进一步强化它吗?

在此输入图像描述

MrC*_*ode 4

只要确保每个数据请求都受到登录系统的保护,以防止向未经身份验证的用户提供数据,该结构就可以。

此外,您还需要确保当用户注销时,将所有数据从 DOM 中清除。这可以通过强制页面刷新window.location.reload()或手动删除所有包含数据的 DOM 节点并覆盖任何变量来轻松完成。考虑一个用户使用您的应用程序,然后注销,然后另一个用户开始使用同一设备。如果您在注销时不刷新数据,则未经身份验证的第二个用户可以打开任何 DOM 工具(例如 Firebug/Chrome 开发工具)并查看最后一个用户的敏感数据。

不要忘记关注 SQLi、XSS(包括基于 DOM 的 XSS - 不仅仅是反射/存储的 XSS)和会话安全(会话劫持等)方面的一般 Web 应用程序安全性。

归档时间:

查看次数:

1066 次

最近记录:

13 年 前
相关归档
任何人都可以解释Reacts单向数据绑定和Angular的双向数据绑定之间的区别 103
JavaScript的; 具有相同来源的标签/窗口之间的通信 69
Chrome DevTools不允许我在某些行上设置断点 44
如何在使用带有多个文件的jquery ajax FormData()时在multipart/form-data请求上设置边界 25
切换,多个案例的值相同 19
如何在AJAX调用期间删除JS变量名末尾的方括号? 16
没有jQuery做Ajax有多糟糕? 11
您使用哪些安全软件开发实践? 9
XCode中代码签名"Debug"或"Release"有什么意义? 6
从Javascript到Django服务器进行查询 5
难疑归档
如何撤消Git中最近的提交? 20327
Docker与虚拟机有何不同? 3523
如何在Windows上安装pip? 2469
如何检查SQL Server表中是否存在列? 1792
@classmethod和@staticmethod对初学者的意义? 1532
StringBuilder和StringBuffer之间的区别 1510
C#的隐藏功能? 1475
如何在Linux shell脚本中提示是/否/取消输入? 1352
如何让jQuery执行同步而非异步的Ajax请求? 1173
Django会扩展吗? 1101