如何使用ajax功能

Question

我已经搜索了互联网，但是我找不到我正在寻找的信息。所以我很抱歉，如果这是一个简单的问题或问米尔琼时代。

我正在开发一个网站（可能）有很多Ajax功能。现在我想知道FaceBook是如何做这个的，比如'Like'按钮。如果我使用ajax调用页面addLike.php？post_id = 1，则访问者（具有恶意）可以使用此URL通过向post_id添加随机值来操纵我的db。

我该如何预防？或者什么是最好的方式来做到这一点？

Answer 1

首先，对于数据条目（存储在数据库，文件等中的东西）进行突变的调用不应该从'GET'HTTP请求中被访问，例如，删除论坛中的帖子。也就是说，如果你想添加一个帖子，你应该使用$.post来执行ajax请求（假设你正在使用jQuery）。

而且，在响应每个请求之前，应完成身份验证和授权。这意味着，如果用户想要添加一个帖子，他/她应该已被认证并且被允许执行特定操作。现有的Web框架将帮助您自动实现这一点（通过配置）。

此外，您还应该通过数据清理防止XSS攻击。你可以谷歌它的更多细节。