開篇三問
AJAX請求真的不安全么? AJAX請求哪里不安全���? 怎么樣讓AJAX請求更安全?前言
日前網(wǎng)絡中流行圍繞AJAX和安全風險的討伐聲浪讓人不絕于耳�����。下面就來詳細談一談Web安全與AJAX的關系��。
本文包含的內(nèi)容較多�,包括AJAX�����,CORS����,XSS��,CSRF等內(nèi)容����,要完整的看完并理解需要付出一定的時間�����。
另外��,見解有限,如有描述不當之處�,請幫忙及時指出�。
正文開始...
從入坑前端開始���,一直到現(xiàn)在���,AJAX請求都是以極高的頻率重復出現(xiàn)����,也解決過不少AJAX中遇到的問題,如跨域調試����,錯誤調試等等�����。
從這種,發(fā)現(xiàn)了一個共通現(xiàn)象:那就是每次和后臺人員對接時��,他們都會提到AJAX請求不安全��,請用普通http請求����!
雖然很多時候��,都是經(jīng)過多翻口舌之爭后��,最終后臺那邊妥協(xié),允許部分符合條件的AJAX請求���。但是,我卻很糾結一個問題:AJAX請求真的不安全么����?為什么我自己寫后臺時并沒有發(fā)現(xiàn)這個問題����?
于是��,開始準備搜集資料,結合自己已有的認知,整理成一份解決方案�����,分析AJAX請求真的不安全么���?哪里不安全�����?�����,后續(xù)遇到類似的問題就直接向對方拋出一篇文章
大綱
AJAX請求真的不安全么
AJAX不安全的說法從何而來常見的幾種Web前端安全問題
CSRF簡介 CSRF與AJAX的關系 XSS簡介 XSS與AJAX的關系 SQL注入簡介 SQL注入與AJAX的關系AJAX和HTTP請求的區(qū)別
CORS與AJAX安全性之間的關聯(lián)
CORS與AJAX關系的簡介 為什么要配置CORS? CORS會配置些什么信息��? CORS Origin: *的安全性再看����,AJAX請求真的不安全么?
AJAX請求哪里不安全?
怎么樣讓AJAX請求更安全�?
AJAX請求真的不安全么
首先�,先說一個定論:AJAX請求是否安全��,由服務端(后臺)決定
有這樣一個說法:如果某個Web應用具備良好的安全性�,那么再怎么用“不安全的AJAX”也削弱不了它的安全性�,反之如果應用本身存在漏洞,不管用何種技術請求,它都是不安全的
為何會有這種說法?因為在Web應用中��,客戶端輸入不可信是一個基本原則
AJAX不安全的說法從何而來����?
在AJAX出現(xiàn)時���,那時的服務端還是很古老的那一批�����,因此完全沒有考慮到AJAX出現(xiàn)后�����,前端請求方式會變得異常復雜���,造成以前的安全策略已經(jīng)無法滿足要求了�,導致大批的后臺安全漏洞曝光�。。����。
很顯然�,都是因為AJAX出現(xiàn)后曝光了更多的安全漏洞�����,導致它看起來很危險(因為AJAX出現(xiàn)后����,請求方式變多了��,以前的架構在新的請求中就可能出現(xiàn)更多漏洞)
