我即将在我的网站中添加一个登录系统,但我认为使用ajax从外部php脚本login.php发送和接收确认并以同样的方式使用另一个logout.php退出并不安全。有什么建议吗?
我即将在我的网站中添加一个登录系统,但我认为使用ajax从外部php脚本login.php发送和接收确认并以同样的方式使用另一个logout.php退出并不安全。有什么建议吗?
AJAX和普通的表单+刷新页面一样安全。毕竟最终都是HTTP请求。你为什么这么认为?
但是,从可用性的角度考虑,请确保那些禁用JavaScript的人仍然可以登录你的应用程序。
请务必使用POST
方法发送您的AJAX请求,因为GET
请求及其参数(例如,明文密码)可能会出现在您的Web服务器日志中,除非您使用HTTPS。
正如Grégoire所指出的:
此外,从可用性的角度考虑,在chrome上,自动完成不会适用于AJAX表单,在firefox上,也不会针对AJAX加载的表单进行提示密码记忆。
在使用Ajax处理登录和注销方面,我无法想到任何安全问题。只要在ajax和服务器端之间发送的信息不是明文密码,那么发送和接收的内容都不重要,因为会话将保存授权状态。
然而,您仍需要刷新页面或重定向以显示适用于已授权用户的内容。因此,我认为Ajax在这种情况下不会有效。
使用GET或POST与ajax调用具有相同的安全风险。其中一个并不比另一个更危险。
好的, Ajax 提交是安全的
这完全取决于你的编码,你必须编写代码时考虑到可能发生的所有攻击
只使用 Ajax 发送数据,并在 php 中进行所有身份验证并返回成功消息
您可以在SSL容器(HTTPS)中使用AJAX。但发送页面也必须加密,因为存在跨域策略。