我正在创建一个直到现在都是纯 PHP 的网站。我在想,因为很少有人没有启用 JavaScript(我想知道为什么!)也许我应该将我的网站创建为一个没有任何 AJAX 的完全 PHP 网站。我是不是想错了?
可以肯定的是,如果我实现一些 AJAX,它会增加我的网站被破坏的风险吗?
我是否应该为此担心并开始使用 AJAX?
最佳答案
AJAX 本身不会增加或降低您网站的安全性,至少如果它的实现是精心设计的话。客户端(浏览器)将打开或关闭 JavaScript。如果启用它,客户端 端可能会有更多不安全因素,但这不会影响您的服务器,因此不会影响您的网站。
尽管如此,您当然应该安全地实现 AJAX 入口点(AJAX 请求访问的服务器端文件)。您应该牢记的两个最重要的经验法则是:
- 将每个用户输入(无论是否通过 AJAX 输入)都视为潜在的“恶意”,因此对其进行彻底验证并使用数据库转义,...不要仅依赖客户端验证!
- 一个好的网站应该提供在启用 javascript 的情况下也可以在没有它的情况下访问的所有可能性。当然,这并不总是可能的,但至少应该尝试一下。
我建议使用支持 AJAX 的框架(取决于您使用的背景技术,如 PHP、Java、Perl),这将使整个过程对您来说更加容易。此外,您也许应该搜索“保护 AJAX 应用程序”之类的内容以获取有关该主题的更多详细信息。
关于javascript - ajax 会增加还是降低安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30682895/