Vấn đề Ajax security ?

Shellingfox viết 13:56 ngày 10/10/2018

Bạn nói rõ hơn là bạn muốn bảo mật cái gì nữa chứ?

Hiện tại thì các request ajax đâu thể thực hiện khác domain đâu nên về phía client bạn hoàn toàn có thể yên tâm là các trang xuất ra ajax của bạn sẽ không bị lấy trên các trang khác không cùng domain với của bạn rồi mà?

LUONG DINH viết 13:56 ngày 10/10/2018

Được gửi bởi Shellingfox

Bạn nói rõ hơn là bạn muốn bảo mật cái gì nữa chứ?

Hiện tại thì các request ajax đâu thể thực hiện khác domain đâu nên về phía client bạn hoàn toàn có thể yên tâm là các trang xuất ra ajax của bạn sẽ không bị lấy trên các trang khác không cùng domain với của bạn rồi mà?

Mình đang nghiên cứu đến vấn đề ajax security !
Mình đọc một loạt bài ở trêng mạng, mình vẫn chưa hiểu lắm.
Các bài ở trên mạng đều nó rằng dùng ajax sẽ tao ra lỗ hổng về bảo mật, nhưng mình ko hiểu rõ về cái cơ chế bảo mật lẫn lỗ hổng mà ajax gây ra:
http://vietbao.vn/Vi-tinh-Vien-thong.../65058436/229/

http://www.misoft.com.vn/?q=vi/news/...dung-ajax.html

http://www.baomatthongtin.com/bmtt/n...ails&action=76

http://www.symantec.com/connect/arti...ecurity-basics

Mình chỉ hiểu là:
- Khi dùng ajax tức không sử dụng thông qua http => thông tin gửi lên sever sẽ không được mã hóa
- Khi không dùng ajax thì sử dụng thông qua http => thông tin gửi lên sever sẽ mã hóa
có đúng không nhỉ ? Mọi người giúp mình hiểu thêm về vấn đề này với

Shellingfox viết 13:49 ngày 10/10/2018

Được gửi bởi LUONG DINH

Mình đang nghiên cứu đến vấn đề ajax security !
Mình đọc một loạt bài ở trêng mạng, mình vẫn chưa hiểu lắm.
Các bài ở trên mạng đều nó rằng dùng ajax sẽ tao ra lỗ hổng về bảo mật, nhưng mình ko hiểu rõ về cái cơ chế bảo mật lẫn lỗ hổng mà ajax gây ra:
http://vietbao.vn/Vi-tinh-Vien-thong.../65058436/229/

http://www.misoft.com.vn/?q=vi/news/...dung-ajax.html

http://www.baomatthongtin.com/bmtt/n...ails&action=76

http://www.symantec.com/connect/arti...ecurity-basics

Mình chỉ hiểu là:
- Khi dùng ajax tức không sử dụng thông qua http => thông tin gửi lên sever sẽ không được mã hóa
- Khi không dùng ajax thì sử dụng thông qua http => thông tin gửi lên sever sẽ mã hóa
có đúng không nhỉ ? Mọi người giúp mình hiểu thêm về vấn đề này với

AJAX chỉ là thay đổi cách thức tương tác chứ nó không phải là một công nghệ. Và hơn nữa nó vẫn chỉ sử dụng giao thức HTTP truyền thống mà thôi. Do đó vấn đề về bảo mật như trên thì hiện tại mình chưa gặp phải vì khi xây dựng ứng dụng ưu tiên đầu tiên của mình là phải chạy tốt và bảo mật khi không có javascript đã. Sau đó mới đưa ajax vô.

Và cuối cùng thì vấn đề vẫn là nằm ở phía server-side chứ không đơn thuần chỉ là ở phía client như bạn mô tả. Theo như các bài viết ở trên thì là do cơ chế linh hoạt + thay đổi cây DOM linh động nên tại một thời điểm mà server nhận được một request thì server sẽ không biết được cây DOM mà server nhận được là từ đâu sinh ra. Vấn đề này phải được tính toán và phân tích khi xây dựng một web 2.0. Từ hồi đó tới giờ mình làm việc chưa gặp phải lỗi này nên ai có kinh nghiệm hơn thì trình bày để mọi người cập nhật kiến thức.

LUONG DINH viết 13:56 ngày 10/10/2018

Trả lời vấn đề của em đi các bác hix !

diepnghitinh viết 13:58 ngày 10/10/2018

Được gửi bởi Shellingfox

Bạn nói rõ hơn là bạn muốn bảo mật cái gì nữa chứ?

Hiện tại thì các request ajax đâu thể thực hiện khác domain đâu nên về phía client bạn hoàn toàn có thể yên tâm là các trang xuất ra ajax của bạn sẽ không bị lấy trên các trang khác không cùng domain với của bạn rồi mà?

Sai hoàn toàn! vì tôi đã lấy toàn bộ email của nhac.vui.vn đấy bạn có tin ko ??? Tôi có thể request từ 1 domain khác sang nhac.vui.vn để lấy dữ liệu của nó bằng ajax! Vì vậy việc bạn nói là hoàn toàn ko đúng

jiSh@n viết 13:45 ngày 10/10/2018

Được gửi bởi diepnghitinh

Sai hoàn toàn! vì tôi đã lấy toàn bộ email của nhac.vui.vn đấy bạn có tin ko ??? Tôi có thể request từ 1 domain khác sang nhac.vui.vn để lấy dữ liệu của nó bằng ajax! Vì vậy việc bạn nói là hoàn toàn ko đúng

Vậy thì phải xem cái server-side code của bên đó tổ chức theo cái kiểu của nợ nào

snoob_clo4 viết 13:56 ngày 10/10/2018

Được gửi bởi Mr.Triết

Hì

Cho em spam chung cho vui

Được gửi bởi diepnghitinh

Sai hoàn toàn! vì tôi đã lấy toàn bộ email của nhac.vui.vn đấy bạn có tin ko ??? Tôi có thể request từ 1 domain khác sang nhac.vui.vn để lấy dữ liệu của nó bằng ajax! Vì vậy việc bạn nói là hoàn toàn ko đúng

Ko!

LUONG DINH viết 13:46 ngày 10/10/2018

Được gửi bởi LUONG DINH

Mình đang nghiên cứu đến vấn đề ajax security !
Mình đọc một loạt bài ở trêng mạng, mình vẫn chưa hiểu lắm.
Các bài ở trên mạng đều nó rằng dùng ajax sẽ tao ra lỗ hổng về bảo mật, nhưng mình ko hiểu rõ về cái cơ chế bảo mật lẫn lỗ hổng mà ajax gây ra:
http://vietbao.vn/Vi-tinh-Vien-thong.../65058436/229/

http://www.misoft.com.vn/?q=vi/news/...dung-ajax.html

http://www.baomatthongtin.com/bmtt/n...ails&action=76

http://www.symantec.com/connect/arti...ecurity-basics

Hix chả thấy ai chả lời rõ ràng cho mình hiểu cả ?

thuyduongcd viết 13:49 ngày 10/10/2018

Được gửi bởi diepnghitinh

Sai hoàn toàn! vì tôi đã lấy toàn bộ email của nhac.vui.vn đấy bạn có tin ko ??? Tôi có thể request từ 1 domain khác sang nhac.vui.vn để lấy dữ liệu của nó bằng ajax! Vì vậy việc bạn nói là hoàn toàn ko đúng

request từ domain khác chỉ có thể thực hiện ở version cũ. FF 3.0 không cho phép nữa rồi, trừ khi thắng server nó mở toang cửa ra cho lấy.
Cón email gì đó muốn lấy thì php cũng lấy được đâu nhất thiết có js.

Vấn đề Ajax security ?

Đăng ký nhận thông báo

HỖ TRỢ HỌC VIÊN

VỀ CODE24H

HỢP TÁC VÀ LIÊN KẾT

KẾT NỐI VỚI CHÚNG TÔI

TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI