1
我正在考虑在一个项目上广泛使用AHAH,并担心安全问题。攻击者能否将恶意代码注入我的响应中,然后在客户端执行?如果我的AJAX响应是JSON,我不必担心这一点,因为如果事情被篡改,JSON将不再有效。AHAH是安全风险吗?
另一方面。 AHAH似乎没有比任何正常的非https请求更大的风险。有什么我失踪或有什么其他想法?
A
回答
3
攻击者能否将恶意代码注入到我的响应中,然后在客户端执行?
难道他们不会这样做到没有Ajax的普通页面吗? Ajax是一个普通的HTTP请求。这里没有什么新东西,同样的安全规则适用。
如果他们能在与AHAH篡改HTML,他们可以在这些请求的JSON/XML /文本乱动所以它是有效的。
0
我已经在这里和那里利用这一技术超过45年的过程中,从来没有真正有一个问题吧。你会想知道任何问题,因为任何JS大型应用程序都会担心。
如果从“xxx.com”和“xxx.com”您的应用程序请求的数据不是你的,或者如果你的服务器在您不知情的发射恶意HTML/JavaScript的,你比的数据 - 选择更大的担忧传输技术。
0
与PHP等服务器端代码相比,JavaScript几乎没有安全问题。您必须在JavaScript中注意的一个问题是Dom Based XSS。
+0
AHAH不是图书馆。基于DOM的XSS也可以应用于php页面。只需要在代码中注入点。 – epascarello 2010-08-09 21:42:01
+0
@epascarello你错了,基于dom的xss *可以完全和完全独立于服务器端代码。在发布之前,你应该阅读更多内容。 (所以我应该,虽然我仍然是正确的:) – rook 2010-08-09 21:59:32
+0
XSS代码如何进入页面?某处存在缺陷。浏览器级别,服务器级别,用户级别或中间人攻击。服务器语言并不重要,但代码必须以某种方式进入页面。 – epascarello 2010-08-10 03:33:23
相关问题
- 1. WordPress - 安全风险?
- 2. 可以image.src是一个安全风险?
- 3. CruiseControl.NET是开源项目的安全风险吗?
- 4. 个人使用泡椒安全风险
- 5. ASP MVC会话安全风险
- 6. Apache中auto_prepend_file的安全风险?
- 7. 启用MSDTC的安全风险
- 8. ElementRef安全风险角度2
- 9. 多个提交按钮安全风险
- 10. PHP过滤器和安全风险
- 11. 表单身份验证安全风险
- 12. 使用xpath有什么安全风险?
- 13. WCF自签证明的安全风险
- 14. SSL系统属性 - 安全风险?
- 15. Drupal中$ update_access_free = true的安全风险
- 16. 有任何安全风险codealike?
- 17. 可见的.git文件夹存在安全风险吗?
- 18. 会向公众展示主要潜在安全风险吗?
- 19. 使用Iframe会带来安全风险吗?
- 20. PHP代码注入。我们有安全风险吗?
- 21. 链接到外部.js文件时,这不是一个安全风险吗?
- 22. Python龙卷风:这是安全的吗?
- 23. phpMyAdmin是否会对生产造成安全风险
- 24. /var/run/docker.sock的Docker安全风险是什么?
- 25. SP_OACreate,SP_OAMethod等的使用是否存在安全风险?
- 26. 查看公共文件,是否存在大的安全风险?
- 27. JavaScript,通过JSON传递用户ID是一种安全风险?
- 28. WCF查询拦截器:此MSDN是否存在安全风险?
- 29. lambda表达式序列化中的安全风险是什么?
- 30. 内部HTTP调用是否存在安全风险
这基本上是我期待的答案,但只是想确保没有我错过的东西。 – Icode4food 2010-08-09 21:32:41
@jeffreymb oah是啊,你只是想念基于xss的dom。 – rook 2010-08-10 02:36:38