Ajax安全技术是一种用于保护Web应用程序免受客户端攻击的技术。它使用一系列的安全机制来防止数据泄露,保护数据传输,以及防止跨站脚本(XSS)和SQL注入攻击。
Ajax安全性的主要目标是防止数据泄露和保护数据传输。为了实现这一目标,Ajax应用程序使用SSL/TLS协议来加密所有的数据传输。这样可以确保所有的数据都是加密的,并且不会被他人读取或者窃取。
Ajax还使用HTTP头部字段来验证请求和响应的合法性。例如,HTTP头部字段中包含了“X-Requested-With”字段,这个字段表明请求是通过Ajax发出的。因此,如果一个请求中不包含这个字段,就表明这不是一个合法的Ajax请求。
此外,Ajax也使用CSRF令牌来防止CSRF(Cross-Site Request Forgery) 攻击。CSRF令牌是一个随机生成的字符串,在客户端和服务器之间传递时必须匹配才能通过验证。如此一来就能够避免CSRF 攻击了。
另外,Ajax也使用CORS(Cross-Origin Resource Sharing) 来避免XSS(Cross-Site Scripting) 攻击。CORS 允踩浏览器在不同域之间共享内容而不必将内容发送到本地机器上去执行JavaScript代码。因此就能够避免XSS 攻击了。
// 使用CORS 防御 XSS 攻击
$.ajax({
url: 'http://example.com/api',
type: 'GET',
dataType: 'json',
xhrFields: {
withCredentials: true // 这里必须要加上withCredentials=true, 否则无法通过CORS 验证
}
});
基于 Ajax 的 Web 应用程序使用与常规 Web 应用程序相同的服务器端安全方案。
你可以在你的 web.xml 文件(声明式)或者程序中(程序化)指定身份认证,授权信息以及要保护的数据。
JavaScript 代码对于用户/黑客是可见的。黑客可以使用 JavaScript 代码推断服务器端的弱点。
JavaScript 代码是从服务下载的,然后在客户端执行("eval"),可以通过恶意代码来危害客户端。
AJAX 实例AJAX 实例 一个简单的AJAX实例 创建一个简单的XMLHttpRequest,从一个TXT文件中返回数据。 用AJAX加载 XML 文件 创...
第 11 章 经典宏本章介绍如何定义几种最常用的宏。它们可以大致归为三类 带有一定重叠。第一组宏创建上下文(context)。任何令其...
原文出处: http://chengway.in/post/ji-zhu/core-data-by-tutorials-bi-ji-liu今天我们来关注一下CoreData的单元测试,其实在写...
原文链接:http://www.aosabook.org/en/gdb.html作者:Stan ShebsGDB, 即GNU调试器(GNU Debugger)。它诞生自开源软件基金会(Free...