+设为首页 +添加到收藏夹
eric pascarello 是 ajax in action " 的作家之一.pascarello penn 州立大学的 2002 毕业生,获得了机械工程学位.他也是 javaranch.com 上的知名人物.在这一次面谈中,他谈论 ajax 安全方面的相关议题.
ajax 作为一种技术传达着使用者更为丰富的使用经验从而受到广泛的赞美.但是 xmlhttprequest 的使用真的能确保安全?
人们可能会说,如果某人能如此容易的接管一个请求,这是多么可怕啊.但是这些人需要了解 xmlhttprequest 并不比普遍的技术容易被破坏.你能想象出它在另外的框架被调用的一种形式.表现出来就像是在页上形成的标签与隐藏的本文领域.通过一个正常的 html 格式, 我们能抓取元素名字而且见到传送给服务器的参数.我们能看行动属性而且见到我们正在调用数据的地方.正如同我们如何去认识 xmlhttprequest 一样, 我们能在任何的网页上见到这一切. 【程序编程相关:微软在线安全服务开始公测 仅限XP SP】
eric pascare: 人们在面对 ajax 的时候往往就是看到一个在网页上表演魔术的被称为 xmlhttprequest 的东西,而且他们认为这东西能完美的弥补安全上的一些差漏.当我们在页上做简单的视野来源的时候, 我们见到的是我们调用,用来传送参数的页.任何使用 javascript 的人只要拥有最基本知识就能很容易地在每个页面上进行编写,改变数据.因此,攻击是很有可能的, 但是这并不需要害怕. 【推荐阅读:飞利浦免费授权LINUX专利 拉5企业共】
为什么说在服务器上做确认是非常重要的?
... 下一页