我们目前正在开发一个完全基于
AJAX的应用程序,它将通过RESTful API与服务器进行交互.我已经考虑过防范针对API的XSRF攻击的潜在方案.
>用户验证并接收
会话cookie,也是
每次请求双重提交.
>我们在中实施OAuth使用者
Javascript,检索令牌时
用户登录并签名
请求带有该令牌.
我倾向于OAuth方法,主要是因为我想提供第三方访问我们的API,而不是必须实现两种身份验证方案.
有没有理由说OAuth消费者在这种情况下无法工作?
大多数AJAX库将设置一个额外的标题“X-Requested-With:XMLHttpRequest”,这在基本的XSRF攻击中很难伪造(尽管如果与XSS结合可能).如果您希望所有请求都是AJAX,那么验证此标头是否存在是一个很好的纵深防御策略.
原文地址:https://www.jb51.cc/ajax/159924.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
