假设我在运行中生成了一个var(例如,返回用户ID的Facebook API调用)。然后我想使用jQuery的AJAX将这个var发送到我自己的服务器。
我的问题是——这安全吗?在AJAX发送到我的服务器之前,有人会拦截并插入他们自己的值吗?如果这是不安全的,如何去做这样的AJAX帖子?
是的,除非您使用HTTPS,否则有人可以拦截它并更改值。因此,这基本上是使其安全的解决方案,以及某种身份验证系统。除此之外,请确保你没有在该var中存储任何秘密,因为你的用户可以很容易地看到它的价值。
验证/拉取ID服务器端,例如http://graph.facebook.com/1303834107:)
在AJAX发送到我的服务器之前,有人会拦截并插入他们自己的值吗?
这取决于你所说的"某人"是谁。
如果您谈论的是第三方攻击者,那么可能的攻击点是:
- 在Facebook的服务器和浏览器之间。如果您可以选择对该请求使用SSL,那么这是在那里保护它的唯一方法
- 在用户的浏览器中。这要求攻击者已经破坏了用户的计算机。对此你无能为力
- 在浏览器和服务器之间。使用SSL对此进行防御
如果您谈论的是浏览器的用户,那么您无法阻止他们更改数据。用户完全可以控制其浏览器向您的服务器发送的内容。你唯一的防御措施是将他们的浏览器排除在等式之外(这将涉及使用OAuth从你的服务器上获得访问他们Facebook帐户的权限)。