javascript - 做一个Ajax Handler,需要问一些安全问题
问题描述
我有一个网站,登录的用户可以关注其他用户,每个用户都存储在 MySQL 数据库中,在这个数据库中有一个包含每个用户会话的表,当用户登录时,它会为该设备生成一个唯一的会话 ID并将其作为 cookie 存储在用户浏览器中。
当用户单击网页上的 HTML 按钮以关注另一个用户时,我希望它向我正在制作的这个 PHP 文件发送一个 javascript XMLHttpRequest,但是我不确定要采取什么样的安全措施,目前我需要要关注/取消关注的用户 ID 和登录用户的唯一会话 ID cookie 值。
基本上,这个具有唯一 ID 的“cookie”/会话,我想知道它是否足以进行 ajax 调用,它有点像 REST API,但是,当方法是 POST 时,它可以通过 PHP 对数据库进行更改。
如果您对此有任何可能的问题,请告诉我,我将不胜感激,如果有人对制作这些类型的 Ajax API 有任何提示,请告诉我。
干杯!
解决方案
虽然 ajax 请求具有会话 ID,并且用户在会话中登录,但接受该请求以更改普通用户可能执行的操作是安全的。请记住所有其他安全问题,如通常的请求或 ajax,无论如何,如对 db 或其他的更改,所以一切都仅限于用户功能,然后它是安全的。
推荐阅读
- react-native - 使用动画变换,无法触发onLayout
- mysql - MySQL Fill in the Remaining Balance
- mysql - mysql select查询非集群环境下分区表的优化
- python-3.x - 使用 POSTMAN 将 python 代码转换为 JSON 格式
- python - Creating Kivy widgets in a loop
- xslt - XSLT non-standardized date parsing
- javascript - React - Dynamic Image loading using props
- android - How to resolve UnicodeDecodeError for file selector app with Kivy and Python?
- angularjs - Can't retrieve data from controller AngularJS
- swift - Firebase says that my rules are insecure, why?