AJAX Security – Các vấn đề bảo mật liên quan đến AJAX từ phía máy chủ và máy Client. Bạn nên quan tâm trước khi sử dụng.
Công nghệ Ajax đã xuất hiện trên các trang web từ nhiều năm trước nhờ có thuộc tính tương tác của nó. Google Suggest và Google Maps là hai ứng dụng của công nghệ này từ sớm. Ngày nay, các công ty đang nghĩ xem làm thế nào để có thể tận dụng được nó. Các chuyên gia thiết kế web thì cố gắng học hỏi nó, các chuyên gia bảo mật cố gắng để bảo đảm nó, còn các thanh tra viên về chống thâm nhập đang nghĩ làm thế nào để có thể hack nó.
Nói gì đi chăng nữa thì bất cứ một kỹ thuật mới nào mà có thể cải thiện thông lượng của các server, cung cấp việc chuyển trạng thái linh hoạt hơn và tạo ra các ứng dụng web phong phú hơn đến người sử dụng thì cũng rốt cuộc là tìm ra một vị trí đứng chân trong lĩnh vực công nghiệp.
Table of Contents
AJAX Security: Phía máy chủ
- Các ứng dụng Web dựa trên AJAX sử dụng cùng một sơ đồ bảo mật phía máy chủ của các ứng dụng Web thông thường.
- Bạn chỉ định các yêu cầu xác thực, ủy quyền và bảo vệ dữ liệu trong tệp web.xml (khai báo). Hoặc trong chương trình của bạn (có lập trình).
- Các ứng dụng Web dựa trên AJAX chịu các mối đe dọa bảo mật giống như các ứng dụng Web thông thường.
AJAX Security: Phía Client
- Mã JavaScript được hiển thị cho người dùng/tin tặc. Hacker có thể sử dụng mã JavaScript để suy ra điểm yếu phía máy chủ.
- Mã JavaScript được tải xuống từ máy chủ và được thực thi (“eval”) tại máy khách. Và có thể xâm phạm máy khách bởi đoạn mã có mục đích xấu.
- Mã JavaScript đã tải xuống bị hạn chế bởi mô hình bảo mật sand-box. Và có thể được nới lỏng cho JavaScript đã xác thực.