确保AJAX应用程序的最佳方式

前端之家收集整理的这篇文章主要介绍了确保AJAX应用程序的最佳方式前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我目前正在开发基于 AJAX站点的身份验证,并且想知道有没有人对这种事情的最佳做法有任何推测.

我原来的方法是一个基于cookie的系统.本质上我设置了一个带有验证码的cookie,每个数据访问都改变了cookie.同样,每当出现验证失败时,该用户的所有会话均被取消身份验证,以防止劫持者出现.为了劫持一个会话,有人将不得不自己登录,黑客将需要发送最后一次cookie更新来欺骗会话.

不幸的是,由于AJAX的性质,当快速发出多个请求时,他们可能会重新出现故障,将cookie设置错误,并打破会话,因此我需要重新实现.

我的想法是:

>一个非常不太安全的基于会话的方法
>在整个网站上使用SSL(好像过度杀毒)
>使用ssl认证的iFrame进行安全交易(我只是认为这是可能的,有一点点jquery黑客)

问题不在于数据传输,唯一的担忧是有人可能会控制不是他们的帐户.

一个非常不太安全的基于会话的方法

就个人而言,我没有发现使用SSL整个网站(或大部分网站)过度使用.也许前一段时间,速度和饲料速度较慢.现在我会毫不犹豫地将站点的任何部分放在SSL之下.

如果您决定使用整个站点的SSL可以接受,您可以考虑使用旧的“基本身份验证”,其中服务器返回401响应,导致浏览器提示输入用户名/密码.如果您的应用程序可以使用此类型的登录,对AJAX和所有访问您的站点是非常有用的,因为浏览器会使用适当的凭据重新提交请求(如果您使用SSL,则只能使用SSL – 不要使用普通的http!的Basic auth).

猜你在找的Ajax相关文章