Portál AbcLinuxu, 13. května 2025 03:38

Dotaz: Zabezpeceni scriptu pro ajax/jquery

20.5.2015 21:57 josef
Zabezpeceni scriptu pro ajax/jquery
Přečteno: 493×
Odpovědět | Admin
Pekny vecer, pisu jsou prvni webovou aplikaci (domaci ukol) a resim jak zabezpecit scripty, ktere slouzi pro vkladani dat do DB. Napriklad mam formular, kde po kliknuti na button dojde k zapsani komentare do db, a to za pomoci volani $.post a nasledne save.php. Kdykoliv se vsak nekdo podiva do kodu stranky tak mi tam muze ulozit co chce. Muze si vycist co predat scriptu a to podvrhnout. Takze i kontrola vstupnich dat je tak trochu pase. Jak tedy efektivne zabezpecit scripty slouzici pro akci volanou ze strany browseru?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.5.2015 22:04 logik
Rozbalit Rozbalit vše Re: Zabezpeceni scriptu pro ajax/jquery
Odpovědět | | Sbalit | Link | Blokovat | Admin
Security by obscurity sice chvíli může fungovat, ale je to cesta do pekla. Takže můžeš použít nějakej Obsfucator Javascriptu, ale pouze jako doplňkovou metodu.

Kontrolovat hodnoty musíš především nikoli na straně klienta, ale na straně serveru.

Jinak ochrana proti tomu, aby ti někdo zaspamoval komentáře je hodně netriviální úloha a v podstatě to 100% zabezpečit nejde. Používaj se různý kombinace captcha, nějakého security tokenu jednorázově vygenerovaného serverem, kontrolou, jestli z daného IP nechodí příliš mnoho příspěvků, kontrola na typické spamovací fráze atd...
Jendа avatar 20.5.2015 22:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Zabezpeceni scriptu pro ajax/jquery
Odpovědět | | Sbalit | Link | Blokovat | Admin
Muze si vycist co predat scriptu a to podvrhnout. Takze i kontrola vstupnich dat je tak trochu pase.
Nechápu. Skriptu na serveru může předat cokoli, ale ten to přece neuloží do databáze, když to neprojde kontrolou.
Jak tedy efektivne zabezpecit scripty slouzici pro akci volanou ze strany browseru?
Nijak, nelze, jsou plně v moci uživatele/útočníka.
20.5.2015 22:18 kolemjdouci
Rozbalit Rozbalit vše Re: Zabezpeceni scriptu pro ajax/jquery
Nelze zabezpecit/znemoznit, aby si utocnik/uzivatel zobrazil zdrojovy kod JScriptu a poslal na server data (napr. curl). Kontrola vstupnich dat na strane serveru muze, ale nemusi zjistit, ze jde o podvrzena data (zalezi pochopitelne na datech). Reseni ve smyslu obrazkovych ci jinych udelatek jako je to moznosti, ale neni to vse-lek. Pokud nekdo bude chtit napriklad hlasovat v anketach automatizovane tak to udela.
20.5.2015 22:23 josef
Rozbalit Rozbalit vše Re: Zabezpeceni scriptu pro ajax/jquery
Ke stejnemu zaveru jsem se taky dopracoval. Pouziju nejaky CAPTCHA generator.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.