javascript - bootstrap - title html attribute
Haciendo seguras las llamadas AJAX (3)
La forma de protegerse contra esto no es diferente de la forma en que protegió contra cualquier solicitud web. Lo hace para que su sitio requiera algún tipo de autenticación (es decir, los usuarios tienen que iniciar sesión) y no hace nada si la solicitud no se autentica correctamente.
Por lo general, cuando realiza una solicitud AJAX, las cookies también se envían junto con la solicitud, por lo que debería poder usar el mismo método de autenticación que utiliza para sus solicitudes regulares con sus solicitudes AJAX.
¿Qué sucede si un usuario mira mi archivo JavaScript, copia el contenido de una función y envía una solicitud a mi servidor utilizando AJAX? ¿Y hay una manera de protegerse adecuadamente de que esto suceda?
Según codeka, no hay forma de evitar que alguien elabore su propia consulta Ajax que sea idéntica a la que tiene en su solicitud de Javascript. La protección entre dominios no lo protegerá necesariamente allí, ya que pueden, si lo desean, simplemente escriba el Javascript en la barra de direcciones mientras están en una página de su sitio.
La única protección que tiene es validar la entrada y los parámetros proporcionados a través de la consulta Ajax en el lado del servidor. Limite cada script de respuesta de PHP o Python o lo que sea a una tarea muy específica, y verifique la entrada en el lado del servidor. Si algo va mal, responde con un error.
En resumen, no hay forma de evitar que alguien envíe la solicitud, pero puede evitar que hagan algo que no desea que hagan en su servidor.
Suponiendo que necesita alguna forma de autenticación:
Supongo que puede mantener la sesión de la base de datos para validar si la solicitud proviene de un usuario genuino para ser falsificado. Utilice cookies encriptadas para almacenar el ID de sesión, y refiérase a la base de datos para validar al usuario