AJAX请求真的不安全吗？网络安全与AJAX的关系

开始三个问题

AJAX请求真的不安全吗？AJAX请求有哪些不安全的地方？如何让AJAX请求更安全？前言

几天前，针对AJAX和安全风险的讨伐在网络上非常流行。让我们详细谈谈Web安全和AJAX之间的关系。

本文包含很多内容，包括AJAX、CORS、XSS、CSRF等。完全阅读和理解需要一定的时间。

此外，意见有限。如有不恰当的描述，请及时帮忙指出。

正文开始.

自从入坑的前端开始，AJAX请求就以非常高的频率被重复，AJAX中遇到的很多问题都得到了解决，比如跨域调试、错误调试等等。

由此，我们发现了一个普遍现象：每次我们与后台工作人员联系时，他们都会提到AJAX请求不安全，所以请使用普通的http请求！

虽然大多数时候，经过多次争论，后台最终妥协，允许了一些合格的AJAX请求。但是，我很纠结一个问题：AJAX请求真的不安全吗？为什么我自己写背景的时候没有发现这个问题？

于是，我开始准备收集数据，结合自己现有的认知，整理出一个解决方案来分析AJAX请求是否真的不安全。哪里不安全？如果你遇到类似的问题，你会直接向对方抛出一篇文章

概述

AJAX请求真的不安全吗

AJAX不安全的说法从何而来？几种常见的Web前端安全问题

CSRF简介CSRF和阿贾克斯的关系XSS XSS和阿贾克斯的关系SQL注入SQL注入和阿贾克斯的关系阿贾克斯和HTTP请求的区别

CORS和AJAX安全的关系

CORS与AJAX关系介绍：为什么要配置CORS？CORS将配置哪些信息？看CORS Origin: *的安全性，AJAX请求真的不安全吗？

AJAX请求有哪些不安全的地方？

如何让AJAX请求更安全？

AJAX请求真的不安全吗

首先，让我们做一个结论：AJAX请求是否安全是由服务器(后台)决定的

有句话说：如果一个Web应用程序有很好的安全性，就不能用“不安全的AJAX”来削弱它。相反，如果应用程序本身存在漏洞，无论使用什么技术，都是不安全的。

为什么会有这样的说法？因为在Web应用程序中，客户端输入不可信是一个基本原则

AJAX不安全的说法从何而来？

当AJAX出现的时候，当时的服务器还很旧。因此，AJAX出现后，前端请求模式会变得极其复杂，导致之前的安全策略无法满足需求，导致大量后台安全漏洞被暴露。

很明显，是因为AJAX暴露了更多的安全漏洞，这让它看起来很危险(因为AJAX出现之后，请求更多，之前的架构在新的请求中可能会有更多的漏洞)

所以，AJAX不安全的说法自然蔓延到了各个角落。

几种常见的网络前端安全问题

如果您想知道AJAX请求是否安全，您必须首先知道Web前端存在哪些类型的安全问题

1.XSS(跨站点脚本)-假会话(基于XSS的csrf劫持cookie-恶意代码执行2。CSRF(跨站点请求伪造)-伪造用户身份操作3。SQL注入.(其他暂时不提)

如上所述，Web前端的安全问题主要是这些类别(只列出了部分进行分析)，所以我们首先要分析一下AJAX和这些类别之间的关系。(XSS和CSRF，稍后将简要介绍。)

CSRF简介

CSRF的特点很简单：欺诈性地使用用户身份并进行恶意操作

到目前为止，这个安全漏洞已经被人们彻底分析过了。谷歌和百度会找到很多解释。这里也先用一张图片做一个简单的描述：

(注意，下面的介绍参考了源文章中的描述，例如，参考了源中的博文后，重新绘制了地图)

因此，我们看到关键条件是：

1.使用cookie进行用户验证

2.登录可信网站A，在本地生成Cookie

3.不注销a就访问危险网站B。

一般(4)处恶意网站(b)的攻击手段如下(必须是指向a的地址，否则不能带cookie):

//1.例如，在网站img src=http://www.bank.example/transfer? Tobankid=hello amount=1000000 width=' 0 ' height=' 0 '/2的图片资源中偷偷进行恶意传输操作。构建恶意隐藏表单并提交恶意请求iframe style=' display: none'name='csrf-frame'/iframeform方法='POST' action='http://www.bank