我正在考虑在一个项目上广泛使用AHAH,并担心安全性。攻击者不能将恶意代码注入到我的响应中,然后在客户端中执行吗?如果我的AJAX响应是JSON,那么我不必担心,因为如果事情被JSON篡改了,它将不再有效。

另一方面。似乎AHAH的风险没有比任何正常的非https请求高。有什么我想念的东西或其他想法吗?

最佳答案

攻击者不能将恶意代码注入到我的响应中,然后在客户端中执行吗?


他们不能对没有Ajax的普通页面执行此操作吗? Ajax是一个普通的HTTP请求。这里没有新内容,适用相同的安全规则。

如果他们可以篡改AHAH中的HTML,则可以篡改那些请求中的JSON / XML / Text,这样它才有效。

10-04 19:35