我有一个网站,使用会话cookie的安全性.它工作正常,但是现在任何ajax请求都不安全.例如,假设用户在页面上.如果他们使用会话登录,他们只能访问此页面 - 到目前为止一切顺利.但现在他们要求的ajax请求是
ajaxpages/somepage.php?somevar=something&anothervar=something
如果任何其他用户自己决定只去那个链接(没有会话),他们仍然会获得与登录人员相同的ajax输出.
所以显然我必须在发送ajax请求时传递会话数据.有没有人提出最好的方法呢?我以前从未这样做过,宁愿使用可靠的方法而不是自己制作.
我正在编写一个Web应用程序,它将通过AJAX发出请求,并希望锁定这些调用.经过一番研究,我正在考虑使用某种形式的随机令牌(字符串)与请求一起传回(GUID?).这是我的算法的重要部分:
着眼安全,这有意义吗?对于令牌,GUID是否有效 - 是否应该是其他内容?有没有一种好方法来加密请求中的变量?
编辑:
我知道这些AJAX请求不会真正"安全",但我想添加基本安全性,因为我想阻止其他人使用我打算编写的服务.这个随机令牌将是针对滥用呼叫的基本前线防御.将要求(甚至提交以生成此类数据)的数据极不可能重复.
也许我在使用GUID时错了......随机生成的字符串(令牌)怎么样?