Есть ли безопасный код php-ajax?

Во многих местах (Google, Yahoo, Stack Exchange ...) я обнаружил, что кодирование Ajax (например, система входа в систему PHP + Ajax) не является и не может быть достаточно безопасным. Так много резервов о безопасности Ajax, и нигде вы не можете найти пример безопасного кода Ajax.

В то же время все эти сайты (даже Facebook, Twitter ...) ИСПОЛЬЗУЮТ много кода Ajax, для регистрации и входа в систему пользователей, для комментариев функций и т. Д. Похоже, что это секретный вопрос. Итак, может ли кто-нибудь показать пример безопасного кода php-Ajax?

0
nl ja de
AJAX - это обычный HTTP-запрос. Существует специальная функция nothing для защиты ajax enpoints по сравнению с другими страницами.
добавлено автор zerkms, источник
это невозможно найти, потому что ничего особенного для AJAX нет. Вы просто пишете тот же код, что и для других страниц
добавлено автор zerkms, источник
@Bhavik Shah: Я говорю это не часто, но теперь настало время: эта штука - это часть sh! T
добавлено автор zerkms, источник
@Alegro: Я здесь, чтобы не убеждать вас ни о чем. Я ответил тебе. Я сказал дважды - в аяксе нет ничего особенного. Вы думаете, что знаете это лучше - хорошо, удачи в этом.
добавлено автор zerkms, источник
@Bhavik Shah: потому что нет такой вещи, как «безопасный» или «небезопасный» аякс. Это всего лишь HTTP-запрос, не более того.
добавлено автор zerkms, источник
@Alegro: вам нужен прямой ответ на ваш единственный вопрос? Нет проблем: <? PHP exit; <---- это безопасный ajax (и не только ajax) php-код. Тебе сейчас лучше? ;-))
добавлено автор zerkms, источник
@zerkms, если нет ничего особенного, почему невозможно найти правильный примерный код. Для регулярной регистрации PHP, регистрации и т. Д. Есть много примеров.
добавлено автор Alegro, источник
Bhavik, вы должны сказать, извините меня , а не ahahah
добавлено автор Alegro, источник
@zerkms, спасибо. Вы отвечаете на вопрос, который не мой вопрос.
добавлено автор Alegro, источник
@zerkms, ваши комментарии показывают вещи, как я описал. Каждый код - кусок дерьма ... Не могли бы вы ссылаться на код, который НЕ является куском дерьма.
добавлено автор Alegro, источник
@ Fr0zenFyr: Хорошо, друзья. Это было всего лишь предложение. Я уже упоминал в своем комментарии, что я никогда не использовал его и только что слышал об этом. Я не понимаю этого. Спасибо в любом случае за то, что сообщили мне об этом куске sh! T. ahhahaha
добавлено автор Bhavik Shah, источник
@zerkms: Хорошо. Я упомянул, что я не использовал и не слышал об этом. Я не заставил Алегро использовать его. Он может принять решение самостоятельно. Я просто написал то, что знаю, что МОЖЕТ помочь ему. Кстати, просто вопрос из любопытства, можете ли вы рассказать, почему SAJA - это кусок sh! T? На самом деле, я не знаю. Итак, я спрашиваю. Было бы здорово, если бы вы могли меня куда-нибудь привести.
добавлено автор Bhavik Shah, источник
Хотя я не использовал ни в одном из своих приложений, я слышал о SAJA. Вы можете путешествовать по сети для SAJA. Просто предложение. Проверь это. saja.sourceforge.net
добавлено автор Bhavik Shah, источник
@BhavikShah: Интересно, вы даже проверили демонстрацию (которая не работает, кстати) на их странице. Бесполезный кусок мусора.
добавлено автор Fr0zenFyr, источник

1 ответы

Запрос AJAX похож на обычный запрос браузера, только в фоновом режиме. Поэтому, если у вас обычно будет форма входа в систему, которая отправляет данные на ваш checklogin.php, вы можете сделать то же самое с AJAX и в равной степени безопасным.

Еще одна вещь, о которой нужно помнить, - это межсайтовые javascript-вызовы. Это используется, например, когда вы создаете приложения на facebook для передачи данных с/на ваш сервер. Эти запросы должны быть подписаны, чтобы убедиться, что данные поступают от действительного источника. Это делается с помощью секретного и открытого ключа. Эти сайты используют oauth для обработки этого запроса. Вы также можете реализовать это на своем собственном сайте, но для любой регулярной проверки подлинности (логин/сообщение/etc) это не понадобится. Просто код, как если бы это был обычный запрос.

0
добавлено
@eis: вопрос не является бессмысленным. Что бессмысленно - повторяет то же самое 3 раза в комментариях. И быть удовлетворительным с ответом, в котором содержится одно и то же утверждение и абсурдный абзац об OAuth ;-) Ну, чтобы получить ответ больше, осталось много протоколов проверки подлинности и авторизации, давайте упомянем их все здесь - это было бы здорово, не так ли?
добавлено автор zerkms, источник
@Hugo Delsing: просто потому, что я не знаю, что писать еще. Вы добавили абсолютно неактуальный абзац об OAuth. Я не могу добавить что-то неуместное, просто чтобы мой ответ выглядел «твердым».
добавлено автор zerkms, источник
@Alegro: Разве это не то же самое, что я сказал в комментариях? ;-)
добавлено автор zerkms, источник
Ок, кажется, это максимум. Скажем, решена
добавлено автор Alegro, источник
@zerkms, конечно, это не то же самое. Сообщение Хьюго - это объяснение. Ваши комментарии - просто заявления.
добавлено автор Alegro, источник
Огюк благодарит много.
добавлено автор Alegro, источник
В некотором смысле да, но если вы считаете, что предоставляете правильную маркизу, почему бы не добавить ее в качестве абрисера?
добавлено автор Hugo Delsing, источник
Нет никаких правил относительно длины тента. если ваш тент «Ничего особенного в ajax» и его действительный, тогда он будет принят как awnser. Но imo, если вы знаете, что вы говорите об этом, достаточно, но, учитывая, что он спрашивает об этом, ему нравится тень с чуть более объяснением, чтобы сделать его понятным.
добавлено автор Hugo Delsing, источник
Fr0zenFyr> Вы говорите, что нам следовало послать в awnser «Нет», и это было бы полезно кому-нибудь? Просто вопрос о том, что этот сайт не о чем. О том, как помочь людям понять.
добавлено автор Hugo Delsing, источник
Бессмысленно то, что вы нытье об айнсере
добавлено автор Hugo Delsing, источник
Eis> arent эти потоки только для скриптов на разных сайтах? Проблема заключается в запросе кросс-домена. Это один из http, а другой https может быть плохим для пользователей, которым доверяют, но он не заблокирован, насколько я знаю
добавлено автор Hugo Delsing, источник
Умм ... @ Fr0zenFyr и zerkms, просто остынь. Вопрос не бессмысленен, даже если запросы AJAX являются стандартными HTTP-запросами, а избиение других людей здесь не добавляет никакой ценности ...
добавлено автор eis, источник
@HugoDelsing, вы можете добавить примечание, чтобы ответить, что если используется https, для некоторых браузеров должен использоваться протокол запроса AJAX и протокол родительской страницы для работы, или должны использоваться другие меры, поэтому в этом смысле это не идентичны. См. этот поток и этот поток .
добавлено автор eis, источник
@zerkms: Кажется, ему нужно объяснение «ничего особенного в AJAX». ха-ха ..
добавлено автор Fr0zenFyr, источник
@HugoDelsing: Ваш ответ скорее является комментарием, чем ответом. Речь идет о «безопасном» AJAX (что, конечно, бессмысленно).
добавлено автор Fr0zenFyr, источник
JavaScript Jobs — чат
JavaScript Jobs — чат
8 336 участник(ов)

JavaScript Jobs — чат для поиска работы и людей Правила оформления: https://teletype.in/@telegram-ru/r1WQe5F1m См. также: @mobile_jobs, @devops_jobs, @nodejs_jobs, @react_js, @angular_ru, @js_ru

JavaScript.ru
JavaScript.ru
7 932 участник(ов)

Сообщество сайта JavaScript.ru в Slack.

pro.js
pro.js
4 675 участник(ов)

Про JavaScript и NodeJS Invite: https://t.me/joinchat/Be4rsT5Rsgq30DHutjxXgA Правила: http://telegra.ph/ru-chat-rules-06-19 Вакансии только с ЗП, не чаще раза в неделю.

phpGeeks
phpGeeks
3 620 участник(ов)

Best PHP chat Еще: @dbGeeks - базы данных @phpGeeksJunior - новичкам @moscowProgers - IT Москва @ebanoePhp - весёлый канал о PHP @laravel_pro - Laravel @jobGeeks - вакансии @jsChat - JS Правила: https://t.me/phpGeeks/764859 ДР - 28.03.2016

JavaScript — русскоговорящее сообщество
JavaScript — русскоговорящее сообщество
3 269 участник(ов)

Рекомендуем сразу отключить уведомления Правила: https://rudevs.network/ByaMH6un7 См. также: @js_noobs_ru, @nodejs_ru, @typescript_ru, @react_js, @electron_ru Вакансии и поиск работы: @javascript_jobs

JavaScript Noobs — сообщество новичков
JavaScript Noobs — сообщество новичков
2 484 участник(ов)

Чат для новичков

Кибербезопасность АСУ ТП: RUSCADASEC Community
Кибербезопасность АСУ ТП: RUSCADASEC Community
1 389 участник(ов)

Группа открытого независимого сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC для интерактивного обмена информацией по теме Подробнее: www.ruscadasec.ru Наш канал для основных новостей и материалов @RUSCADASECnews

PHP
PHP
1 309 участник(ов)

Группа про современный PHP. Обсуждаем ООП, TDD, BDD, DDD, SOLID, GRASP и прочие крутые базворды Для ознакомления: https://gist.github.com/mkusher/711bd46f0b62fbae851182e6fb3b1839 Группа PHP для новичков @phpGeeksJunior Вакансии: https://t.me/fordev

PHP — вакансии, поиск работы и аналитика
PHP — вакансии, поиск работы и аналитика
1 251 участник(ов)

Публикуем вакансии и запросы на поиск работы по направлению PHP, Laravel, Symfony, Yii и т.д. Здесь всё: full-time, part-time, remote и разовые подработки. См. также: @qa_jobs, @devops_jobs, @javascript_jobs, @nodejs_jobs, @uiux_jobs, @products_jobs

phpGeeksJunior
phpGeeksJunior
980 участник(ов)

Группа для новичков. Не стесняйтесь задавать вопросы по php. Не флудить!!!! Правила и полезные ссылки https://gist.github.com/exileed/a53dd0617b35a705ff44b38c8028e6a5 Бест от пхпгикс https://t.me/best_of_phpgeeks

javascript_ru
javascript_ru
915 участник(ов)

Сообщество любителей самого популярного языка программирования в мире. Чат основан в 2009 году. Логи: https://goo.gl/9EOeM7 Поддержка бота: @chat_linker (ссылка на репу внутри) Вам будут интересны @frontend_ru и @css_ru

phpclub.ru
phpclub.ru
872 участник(ов)

Официальный чат phpclub.ru - остерегайтесь подделок #rules Правила группы - уважайте друг друга. Скриншоты -> ссылками. Код -> pastebin.com. Вакансии строго -> https://goo.gl/4bNxym, в чат ссылку. За рекламу и мат - БАН!

secinfosec
secinfosec
697 участник(ов)

Эта группа про информационную безопасность. Целевая аудитория: пентестеры, ресерчеры, ибшники всех мастей. Реклама, криминал, политика и прочая чушь карается родовыми проклятьями. Митапы: https://www.youtube.com/channel/UCagEjp1FmxY9gsVxi6_d4SQ

Linux Security
Linux Security
652 участник(ов)

Данная группа принципиально про безопасность и в частности про безопасность Linux. Прочие темы просим обсуждать в профильных чатах.

jsChat
jsChat
603 участник(ов)

Чат посвященный программированию на языке javaScript Перед отправкой ссылки на Ваш контент посоветуйтесь с админом Все ссылки удаляются ботом автоматически

Chat Security / ИБач чат
Chat Security / ИБач чат
601 участник(ов)

Чат канала @ibach Обсуждение всего, что касается информационной безопасности Правила: https://t.me/chat_security/65

JavaScript for Zombies Chat
JavaScript for Zombies Chat
492 участник(ов)

Чат про JavaScript для настоящих zombie! Вход строго по приглашениям! Ссылка для строгих приглашений: https://t.me/joinchat/AAMBHz3Uyr0tuZ7VaB029g

All That JS
All That JS
417 участник(ов)

JS на русском

Devall | PHP
Devall | PHP
272 участник(ов)

Пристанище для восходящих звёзд разработки, которые перейдут на более адекватные языки. http://combot.org/chat/-1001014863761 Инвайт: j.mp/devallphp