私は、JavaScriptのAJAXでウェブサイトを作るのは全く新しいです。私は私のウェブサイト上のすべての経験にFacebookのような1つのドメインを提供したいので、私はjavascript AJAXを使ってすべてのページを変更する方法を作りました。最初に、私のウェブサイトにアクセスすると、ログインしてからメインページに戻り、ページを変更する方法をトリガーするボタンをクリックしていくつかのメニューに行くことができます。ユーザーログイン後にAJAXでユーザーを確認するにはどうすればよいですか?
私が直面した問題は、最近誰かがコンソールにJavaScriptコードを入力してTumblrのすべての写真をクリックするのではなく、そのすべてをクリックするのを見たことがあります。アイデアは私の頭を打つ。
私のウェブサイトのすべてのページ変更方法は、ログインせずに呼び出すこともできます。誰かがログインせずにページを変更するjavascriptコードをコンソールに入力し、ページの内容を見ることができます。
最初のアイデアは、この状況を防止するために私の頭に来たのですが、id/pwをサーバに送信するたびに、サーバがリクエストを取得するたびに、サーバはid/pwでブラウザを割り当てますページを変更する。例えば、ユーザがメニューAに行くことを望むとき、彼(または彼女)は彼/彼女のid/pwをメニューAの内容を見るために送らなければならない。
これはとても悪い考えだと思った。私が推測するように、サーバが常にidとpwをチェックしなければならないとき、サーバのCPUに過負荷がかかると思います(申し訳ありませんが、私はサーバのCPUとプロセスについてよく分かりません。だから私は毎回id/pwを送信せずにユーザーとその要求を検証する別の方法があると思います。
誰でも知っていますか?または、すべての投稿リクエストでID/PWをチェックする必要がありますか?
CSRFはステートフルなアプリケーションで使用されます。この場合はAPIなので、CSRFは使用されません – brunocascio
私はそれを見ていきます。ありがとう! –
私はドキュメントを読んでいて、わかっているように、ハッカーがフォーム、テキストエリアなどでウェブサイトにスクリプトをアップロードすると問題になります。しかし、私が検討しているのは、ユーザーがChromeで「デベロッパーツール」を開き、その関数を実行するためのjavascriptコードを入力するという問題です。グローバルレベルでの機能の停止を止めることで解決できますか?私は理解していることが正しいかどうかを確認したいだけです –