تالار گفتمان nCIS.ir   برنامه نویسی سایت   PHP v
امنیت در ajax

رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
حالت موضوعی
امنیت در ajax
#1
17-07-1394، 01:34 ب.ظ
olampiad آفلاین
همراه قدیمی
****
ارسال‌ها: 448
موضوع‌ها: 206
تاریخ عضویت: خرداد 1394
اعتبار: 0
تشکرها: 154
16 بار تشکر شده در 14 پست
سلام و خسته نباشید به دوستان عزیز
سوالاتی در مورد امنیت jaax داشتم.
خودمون میدونیم که هرچیزی که سمت کاربر باشه امنیت پایینی داره:
حالا ajax هم از کد های javascript هستش و سمت کاربر محسوب میشه.
در این صورت چ طوری میتونیم امنیت رو تامین کنم.
منظورم اینه که یکی بیاد کدهای جاوااسکریپت رو دستکاری کنه و پشت سر هم به سرور درخواست بفرسته و باعث اختلال بشه.
در این مورد پیشنهاد و یا راه حلی دارید.
خیلی ممنون
ارسال‌ها
پاسخ
تشکر شده توسط:
#2
17-07-1394، 03:02 ب.ظ
ADMIN آفلاین
مدیر کل سایت
*******
ارسال‌ها: 3,701
موضوع‌ها: 140
تاریخ عضویت: اردیبهشت 1394
اعتبار: 134
تشکرها: 195
3447 بار تشکر شده در 2120 پست
درمورد CSRF protection در درخواستهای AJAX تحقیق کنید.
وب‌سایت ارسال‌ها
پاسخ
تشکر شده توسط:
#3
17-07-1394، 04:53 ب.ظ
bgsrb88 آفلاین
کاربر فعال
***
ارسال‌ها: 135
موضوع‌ها: 4
تاریخ عضویت: اردیبهشت 1394
اعتبار: 11
تشکرها: 4
85 بار تشکر شده در 72 پست

//See: https://gist.github.com/ziadoz/3454607
//See: http://blog.ircmaxell.com/2013/02/preven...tacks.html


<?php

// Start a session (which should use cookies over HTTP only).
session_start();

// Create a new CSRF token.
if (! isset($_SESSION['csrf_token'])) {
   $_SESSION['csrf_token'] = base64_encode(openssl_random_pseudo_bytes(32));
}

// Check a POST is valid.
if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) {
   // POST data is valid.
}
?>

<!DOCTYPE html>
<html lang="en">
<head>
   <meta charset="utf-8" /> 
   <title>PHP CSRF Protection</title>

   <script>
   window.csrf = { csrf_token: '<?php echo $_SESSION['csrf_token']; ?>' };

   $.ajaxSetup({
       data: window.csrf
   });

   $(document).ready(function() {
       // CSRF token is now automatically merged in AJAX request data.
       $.post('/awesome/ajax/url', { foo: 'bar' }, function(data) {
           console.log(data);
       });
   });
   </script>
</head>
<body>
   <form action="index.php" method="post" accept-charset="utf-8">
       <input type="text" name="foo" />
       <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>" />
       <input type="submit" value="Submit" />
   </form>
</body>
</html>

یادگیری مداوم حداقل شرط لازم برای موفقیت در هر زمینه ای است که در آن فعالیت می کنید؛ هر روز چیز جدیدی بیاموزید.
ارسال‌ها
پاسخ
تشکر شده توسط: olampiad
#4
17-07-1394، 06:36 ب.ظ
hamo آفلاین
کاربر فعال
***
ارسال‌ها: 168
موضوع‌ها: 2
تاریخ عضویت: اردیبهشت 1394
اعتبار: 12
تشکرها: 59
443 بار تشکر شده در 142 پست
اطلاعات شما که سمت کلاینت پرذازش نمیشن و سمت سرور اینکار انجام میشه و همون کارایی که قبلا می کردین یعنی جلوگیری از حملات SQL Injection, CSRF, XSS و ... رو باید ایننجا هم انجام بدین. فقط تو روش ajax باید حواستون باشه اجازه دسترسی مستقیم فایل php رو به کاربر ندهید و فقط از طریق اتفاق افتادن اون event خاص انجام بشه
موفقیت، نتیجه تشخیص درست است؛ تشخیص درست، نتیجه تجربه است؛ تجربه نیز اغلب نتیجه تشخیص نادرست است.



ارسال‌ها
پاسخ
تشکر شده توسط:




کاربران در حال بازدید این موضوع: 1 مهمان