AJAX 호출 보안 설정

AJAX 호출 보안 설정

사용자가 내 자바스크립트 파일을 보고 함수의 내용을 복사하여 AJAX를 사용하여 서버로 요청을 보내면 어떻게 됩니까?그리고 이런 일이 일어나지 않도록 적절히 보호할 수 있는 방법이 있을까요?

이로부터 보호하는 방법은 웹 요청으로부터 보호하는 방법과 다르지 않습니다.사이트가 어떤 형태의 인증을 요구하는지(즉, 사용자가 로그인해야 함) 확인하고 요청이 제대로 인증되지 않으면 아무런 조치도 취하지 않도록 합니다.

일반적으로 AJAX 요청을 할 때 쿠키도 요청과 함께 전송되므로 AJAX 요청과 함께 일반 요청에 사용하는 것과 동일한 인증 방법을 사용할 수 있습니다.

codeka에 따르면, 누군가가 당신의 자바스크립트 요청에 있는 것과 동일한 그들만의 Ajax 쿼리를 만드는 것을 막을 방법이 없습니다.교차 도메인 보호는 사용자가 원하는 경우 사이트의 페이지에 있는 동안 자신의 주소 표시줄에 자바스크립트를 입력하면 되므로 반드시 사용자를 보호할 수는 없습니다.

서버 측에서 Ajax 쿼리를 통해 제공되는 입력 및 매개 변수의 유효성을 검사하는 것이 유일한 보호 방법입니다.각각의 PHP나 Python, 또는 어떤 응답 스크립트도 매우 특정한 작업으로 제한하고, 서버측의 입력을 확인합니다.문제가 있으면 오류로 대응합니다.

간단히 말해, 다른 사용자가 요청을 보내는 것을 방지할 방법은 없지만, 사용자의 서버에서 사용자가 원하지 않는 작업을 수행하는 것을 방지할 수 있습니다.

어떤 형식의 인증이 필요하다고 가정하면 다음과 같습니다.

데이터베이스 세션을 유지하여 위조된 사용자로부터 요청이 오는지 확인할 수 있습니다.암호화된 쿠키를 사용하여 세션 ID를 저장하고 쿠키 세션 ID를 데이터베이스에 참조하여 사용자의 유효성을 검사합니다.

언급URL : https://stackoverflow.com/questions/2971826/making-ajax-calls-secure