首先,所有这些可能都是一个新手愚蠢的问题。
我正在使用Laravel开发Web应用程序,但最终使用了大量的Jquery / javascript。在开发过程中,我试图考虑所有可能的安全风险,但是对这个主题的研究越深入,我就越担心Jquery / javascript的使用。看起来使用Jquery / javascript动态加载内容总体上是一个非常糟糕的主意...但是我不想重做所有事情,因为这将需要花费数周的时间来开发已经开发的内容。一个简单的例子假设我有一个像这样附加到div的方法
<div class="img-container" id="{{$file->id}}" onmouseover="showImageButtons({{$file->id}})"></div>
然后是Javascript的一部分
function showImageButtons(id)
{
console.log(id);
}
当我在浏览器中打开它时,我能够更改通过chrome inspector发送到javascript的参数的值。
并且它实际上已执行,我可以看到正在打印到控制台的“一些恶意代码”。如果我使用该参数对服务器进行了ajax调用怎么办?会过去吗?有什么我不理解的东西,或者说它真的很容易操作吗?
关于网络安全,您需要考虑两个基本方面-
浏览器和您的服务器之间的连接应该是安全的(即https),这样,假设您正确配置了服务器,没有人可以截获客户端-服务器通信,并且可以通过AJAX共享数据。
] >在服务器端,您应该将来自客户端的信息视为敌对并将其清除;那是因为任何人都可以通过您的网页向您发送任何内容,即使您在客户端进行输入验证,因为您的JavaScript代码是由客户端执行的,因此可以完全控制攻击者。虽然仅在网页中植入“恶意代码”并不是真正的攻击,但是如果攻击者诱使您将该恶意代码存储在服务器中并将其发送给其他客户端,则她可以在其他客户端浏览器上运行她的JavaScript,这很糟糕(查找“跨站点脚本/ XSS”)。