JQuery AJAX代码安全指南？

Question

我正在创建一个web应用程序，它使用JQuery的AJAX调用来处理所有的浏览器不一致问题。

然而，由于代码很容易从浏览器中读取，我担心我可以使用什么安全措施来保护web应用程序免受攻击。

显然，我将对服务器端代码进行身份验证检查，以确保它们能够访问它们试图访问的数据。然而，我也一直在努力寻找阻止CSRF攻击的方法，以及寻找“模糊”代码的方法，以便在浏览器中通过View Source不易阅读。

我应该采取哪些步骤来确保安全性处于良好的水平？

另外，通过PHP将数据注入jquery脚本是不是一个坏主意？

谢谢!

Answer 1

你的主要问题没有简单的答案。您应该阅读OWASP guide on CSRF prevention并从那里开始。

有很多方法可以混淆javascript，但是它们都不会增加你代码的安全性。如果攻击者真的想要读取您的混淆代码，他可以手动选择它，或者为它编写一个解析器，然后简单地解开它。不是一种可行的安全技术。

通过PHP向jquery脚本注入数据也是个坏主意吗？

只要你不介意世界看到这些数据，不，这不是一个坏主意。如果数据是敏感的，您可能希望将其保留在服务器端，或者使用盐对其进行散列，然后将散列值插入到脚本中。当然，这种散列在客户端是相当不可用的，因为您不能在任何客户端中包含您的盐(这将违背混淆数据的初衷)。如果您想要利用这些数据，则需要将其ajax返回到您的服务器并在那里进行处理。