若何预防XSS：

• 输入过滤，不信赖用户的任何输入，过滤个中的“<”、“>”、“/”等可能导致脚本注入的特别字符，

或者过滤“script”、“javascript”等脚本关键字，或者对输入数据的长度进行限制等等，
还得推敲进击者应用十六进制编率攀来输入脚本的方法。

• 输出进行编码，和输入过滤类似，不过是大年夜输出上着手，数据输出到页面时，经由HtmlEncoder等对象编码，如许就不会存在直接输出可履行的脚本了

• cookie设置http-only，如许用脚本就无法获取cookie了

（如许只有浏览器向Web办事器提议请求的时才会带上cookie字段，避免了XSS进击应用JavaScript的document.cookie获取cookie）

• Cookie防盗，尽可能地避免在Cookie中泄漏隐私，如用户名、暗码等；

留意，特别是后台，必定不克不及信赖前端的输入，须要过滤与校验

XSS与AJAX的关系

以上分析了XSS造成一些影响与问题，仍然发明：与AJAX关系不大年夜，因为这些问题不管用不消AJAX都邑产生。

看看这种情况，譬如上述的富文本注攘闼楹

3. 当然，如不雅确认后台没有这些隐蔽马脚，可以直接应用`*`，毕竟也执偾针对浏览器的同源策略罢了，影响没有那么大年夜。

1. 某个接口采取AJAX交互

2. AJAX请求完后将对应富文本字段显示到了页面上-譬如innerHTML

然则，这真的与AJAX无关，这是前后端没有进行输入输出过滤而造成的后不雅。

所以，照样那句话：如不雅某个Web运器具备优胜的安然性，那么再怎么竽暌姑“不安然的AJAX”也减弱不了它的安然性，反之如不雅应用本身存在马脚，不管用何种技巧请求，它都是不安然的

sql注入展开将也是一门很大年夜的学问，很早以前更是大年夜行其道（当然，如今...），这里仅仅举几个最极端的示例。

前提是后台没有过滤前端的输入数据，不然根本无法生效

假设页面A中有一个上岸萌芽存在低劣的sql注入马脚，如许子的：（最极端，最傻的情况）

3.其它恶意代码履行

String sql = "SELECT * FROM users WHERE name = '" + name + "' AND password = '" + password + "'"; 

然而有进击者分析出后台可能存在马脚，测验测验sql注入进击，输入

// 许可任何来自随便率性域的跨域请求 
Access-Control-Allow-Origin: * 

name = ' or 1=1 
password = anything 

那么如许，后台接收到数据后，实际膳绫侨芽的结不雅是

故而，进击者成功的绕过的用户名，应用后台马脚上岸了。

当然了，像这类这么初级的马脚，现象几乎已经不存在了，往往这类型马脚须要细心分析，耗时。（又或者是有内奸。。。）

SQL注入与AJAX的关系

可以看到，就算Access-Control-Allow-Origin: *许可所有来源的AJAX请求，跨域的cookie默认情况下仍然是无法携带的，无法CSRF

额，大年夜上述的示例中看不出和AJAX有什么关系。然则我们可以如许假设：

1. 有一个接口，接收AJAX post的数据

2. 数据中有一个字段 'name'，后台接收到后没有进行过滤，直接如膳绫擎的演示一样，履行sql语句了


<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> 
<form action="login.jsp" method="post">  
     请输入用户名与暗码：<BR>  
	
			
 4/7   首页 上一页 2 3 4 5 6 7 下一页 尾页
	
			

　　推荐阅读
　　徐晓兰：智能将成为新的生产要素
            【限时免费】岁尾最强一次云计算大年夜会，看传统、社区、互联网企业若何碰撞？            人工智能正在加快迈人道能进级、应用深化的2.0成长新阶段，比出生60余年以来的任何时刻都加倍接近于仁攀类智能>>>详细阅读


本文标题：AJAX请求真的不安全么？谈谈Web安全与AJAX的关系
地址：http://www.17bianji.com/lsqh/40290.html
 1/2    1