Kann jemand meine Ajax-Anfrage in jQuery hacken?

Sie brauchen , um diese Serverseite zu sichern, Sie können sie weder auf der Clientseite schützen, noch sollten Sie dies tun.

JavaScript ist sichtbar, ausführbar, dynamisch, offen ... es ist alles, was Sie wollen, wenn Sie ... tun, was auch immer Sie wollen damit, was eine sehr schlechte Sache für die Sicherheit ist. Sie müssen die übergebene ID überprüfen, auf was der Benutzer bei der Verarbeitung der Anfrage Zugriff haben soll.

Alles, und ich meine alles , was Sie auf dem Client tun, ist eine Abschreckung , keine Lösung , und tatsächlich gibt es kein effektives JavaScript Abschreckungsmittel, die ich je gesehen habe. Selbst wenn Sie es sichern könnten, kann ich einfach Firebug, Fiddler, Wireshark, Chrome oder eines von zwölf anderen Tools öffnen, um zu sehen, was die Anfrage letztendlich trotzdem sendet.

Vertrauen Sie niemals den Eingaben Ihrer Benutzer: Überprüfen Sie die ID auf dem Server.

Sie sollten immer die Eingabe auf der Serverseite überprüfen, wenn die Daten gesendet werden. Wenn beispielsweise ein Benutzer sein Profil auf der Site bearbeitet, würden Sie die Profil-ID nicht in eine verborgene Variable einfügen. Sie würden die Profil-ID basierend auf dem Cookie / der Sitzung des Benutzers ableiten, als die Daten gesendet wurden. Der Schlüsselsatz ist absolut nie dem Klienten zu vertrauen.

Sie müssen eine serverseitige Überprüfung durchführen, um sicherzustellen, dass der aktuelle Benutzer berechtigt ist, die Aktion basierend auf dem aktuellen Benutzer und Kontext auszuführen. Wie Sie bereits festgestellt haben, kann jeder mit gültigen Anmeldeinformationen die Werte ändern, die zurückgegeben werden. Sie müssen Ihren Code nicht einmal ändern. Sie können einfach eine Anfrage erstellen, die alle gewünschten Werte enthält, wenn sie die richtigen Cookie-Informationen haben / p>