AJAX jqueryはブラウザ/クライアント側の操作に安全なデータをポストしています

Question

このようなテストコードです。私は2ページあります。最初のページには、...

<head> 
     $(document).ready(function(){ 
      $("#btn").click(function(){ 
       $.ajax({ 
            type: 'POST', 
            url: 'test2.php', 
            data: { name: 'doflamingo'}, 
            success: function(response) { 
            $('body').html(response); 
            } 
           }); 
      }); 
     }); 
</head> 
<body> 
     <input type="button" value="Click" id="btn"> 
</body> 

とtest2.php

で

<?php 
echo $_POST['name'] 
?> 

私は最初のページ上のボタンをクリックした場合には、「ドフラミンゴ」のテキストが表示されます。 ブラウザのFirebugに行き、 'doflamingo'を 'luffy'に編集してボタンをクリックすると、まだ 'doflamingo'が表示されます。だから、このAJAX jQueryの意味は、ハックの権利から安全ですか？私はより多くのセキュリティを追加する必要はありませんか？
また、urlをtest2.phpからrandom.phpに編集しますが、URLはまだ 'test2.php'になります。

Answer 1

javascriptがロードされるとブラウザのメモリにロードされるので、動作は正しいです。

したがって、html要素の値を取得する場合と同じように変更すると、変更されます。

セキュリティに考慮すべきいくつかのポイントがあります：あなただけの要求をrecibeすることができ、デフォルトでは意味 CORS

ので、本質的に：彼らはここに多くのリファレンスを参照してくださいHTTPアクセス制御（CORS）を実装し、デフォルトで

のブラウザでは、あなた自身のドメインから。

しかし、一度ページが読み込まれ、javascriptの悪質なコードをブラウザのf.exampleインスペクタに挿入しようとするとどうなりますか？この要求は有効な要求かどうかはわかりません。

これは、CSRF（クロスサイト要求偽造）またはXCSRF（ajax付き）と呼ばれます。

良い行動で行われた要求のためにチェックすることができ、それを処理しようとする簡単な方法...

F.exampleは、あなたがどこ最初にレンダリングされたページを持って、ユーザーが意志リクエストを実行します。

• サーバーサイドスクリプトを実行し、ブラウザにHTMLを送って、私たちは私たちが私に今では「レンダリングされたページ」

  /** 
  * Preventing CSRF 
  */ 
  
  $time = time(); 
  $_SESSION['time'] = $time; 
  
  $salt = 'gxYrE9G5kxlPcPOC1DSTWOehgw9Rb6FQ9q2qr5vpCPhBV418Q9TUYUK91cvd'; 
  $_SESSION['token']= sha1($salt . $time); 
  ...attach this token in a hidden input on html 
  

• ページのindentifierを添付することができます隠された入力またはメタタグまたは任意の内部トークンを使ってレンダリングの、あなたはAJAXリクエストを作るときに、あなたが戻ってサーバーにこのトークンを含めると照合してチェックしなければならないあなたが前に保存されてきたが、HTMLを送信します。

  $_POST['crsf'] !==$_SESSION['token'] 
  

ユーザーの要求を信頼し、すべてのデータをフィルタリングしないでください。できるだけmeanyチェックとして行うことができます。たとえば、リクエストの制限を最小化します（要求と要求の間にdiffを格納します。 ）。

確かにあなたの答えはそうではありません.AJAXはブラウザ/クライアント操作のために安全ではありません。なぜなら、セキュリティの問題が100％無料の技術ではないからです。