最近我正在写一个项目,我想用jquery 和ajax 请求来写它。
我唯一不知道的是,它是否足够安全?
比如我在验证用户名时,在注册新用户时,我使用jquery ajax请求,
我从 db(使用 json)获取现有用户名的数组,然后验证 new_username 是否不是 inArray() 现有 usernames,我提出另一个请求,并注册用户。
但是安全性呢? meybe 黑客可以找到改变我的一些 if-else 语句的方法,并且我的整个安全装置都会停止。
也许你会帮助我了解这种情况?
谢谢
最佳答案
(在下面我假设,username 是用户可以用来登录的 ID,而不是某种昵称;))
将所有用户名作为 JSON 获取是不好的。然后攻击者立即获取所有注册的用户名!
只需将用户名发送到服务器,在那里验证它并发送“有效”或“无效”作为响应。即,检查服务器端的可用性。始终在服务器端验证用户输入。可以禁用 JavaScript。
更新:
有没有jQuery都无所谓。 您发送给客户端的所有内容(并且未散列或加密)可以被客户端读取,它不管它是 XMLHttpRequest 还是“正常”请求。
您会向您网站的任何访问者发送包含所有用户名的 HTML 表格吗?我希望不会:)
总结:
- 只发送允许客户端访问的数据。
- 在服务器端验证用户输入。
- 永远不要相信用户输入。
关于javascript - AJAX 请求的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3095206/