| |
|
|
| | Здраствуйте.
Вот хотел поинтересоваться у знающих людей, вы пользуетесь "технологией" AJAX???
Точнее имеется в виду javascript + xmlhttprequest. Хочу попробовать применить её у себя, но почему-то говорят, что использовать xmlhttprequest не безопасно! Вчера специально целый день занимал поиском об узявимостах аякса - тщетно. Точнее высказываний много о небезопасности, но ниодного живого примера не нашел и это по сравнению с реальными уязвимостями: sql-инъекции, XSS и т.п, где информации про них море с реальными примерами.
Юзал поиск на данном сайте по всем форумам - глухо.
Так что не пойму, в чем эта опасность заключается, вроде бы такой же запрос-ответ. Где подводные камни? Может быть, например, то, что иногда используется ActiveXObject?
Что можете сказать по этому поводу? | |
| |
|
|
| |
|
|
| |
для: Антоха
(08.02.2008 в 19:54)
| | | Юзаю активно
Если проверять данные то все безопасно | |
| |
|
|
| |
|
|
| |
для: Антоха
(08.02.2008 в 19:54)
| | | Использование AJAX не опаснее любой другой Web-технологии, если дыр не делать - никакой опасности нет, а дыр наделать можно и без AJAX. | |
| |
|
|
| |
|
|
| |
для: cheops
(09.02.2008 в 01:52)
| | | Спасибо.
Вот еще один вопрос тогда.
Допустим, послали мы асинхронный запрос, его как нужно обработали, а ответ тоже надо обрабатывать? Просто, когда имя=значение, то трудности не составить обработать, а если какой-нибудь хml ответ будет или что-нибудь на подобии. Тут уж тот же, например, htmlspecialchars не применишь!
Вы обрабатываете полученный ответ? | |
| |
|
|
| |
|
|
| |
для: Антоха
(09.02.2008 в 03:45)
| | | Полученный ответ я не обрабатываю в большинстве случаев, а делаю это на сервере
И получаю не xml, с строку, как и подавляющее большинство | |
| |
|
|
| |
|
|
| |
для: bronenos
(09.02.2008 в 08:03)
| | | Спасибо за ответы.
З.Ы. Я как бы тоже не собираюсь (пока!) получать хml-ответ, просто привел пример. | |
| |
|
|
