v2.5.2
Giriş yap

Ajax API Güvenliği Hk.

r00t
414 defa görüntülendi

Merhabalar;
Sorum özellikle PHP projelerimdeki Ajax requestlerimin güvenliği için ortaya çıkıyor. Ancak her dil için ortak noktaları elbet vardır.
Sizlerin bu tarz Ajax ile GET/POST gibi requestlerinizde, endpoint tarafında vs. mutlaka dikkat ettiğiniz noktalar nelerdir? Gerek front-end tarafında isteği yollarken, gerek hedef backend dosya üzerinde yaptığınız kontroller vs.
Örneğin;
POST isteği var mı? CSRF-TOKEN eşleşiyor mu? Referer kontrolü, Dosyaya link üzerinden direct access'i blocklama, parametreleri sanitize etme vb.vb.

Gerek buraya aklınıza gelen maddeleri, gerekse faydalanabileceğimiz linkleri bırakırsanız; bu konu başlığı aracılığı ile pek çok kişiye faydası dokunur diye düşünüyorum.

saygılar

jct
609 gün önce

Kendi kullandığım yöntem; İstek attığım adresin sonuna şifrelenmiş bir GET isteği ekliyorum.

http://APIURL?req=ŞifrelenmişToken

İşlem yapacağım sayfada bu Token değerini kontrol ediyorum, eğer yok yada doğru değilse, sayfaya girişi engelliyorum. Umarım işinize yarar...