Ajax API Güvenliği Hk.
Merhabalar;
Sorum özellikle PHP projelerimdeki Ajax requestlerimin güvenliği için ortaya çıkıyor. Ancak her dil için ortak noktaları elbet vardır.
Sizlerin bu tarz Ajax ile GET/POST gibi requestlerinizde, endpoint tarafında vs. mutlaka dikkat ettiğiniz noktalar nelerdir? Gerek front-end tarafında isteği yollarken, gerek hedef backend dosya üzerinde yaptığınız kontroller vs.
Örneğin;
POST isteği var mı? CSRF-TOKEN eşleşiyor mu? Referer kontrolü, Dosyaya link üzerinden direct access'i blocklama, parametreleri sanitize etme vb.vb.
Gerek buraya aklınıza gelen maddeleri, gerekse faydalanabileceğimiz linkleri bırakırsanız; bu konu başlığı aracılığı ile pek çok kişiye faydası dokunur diye düşünüyorum.
saygılar
Kendi kullandığım yöntem; İstek attığım adresin sonuna şifrelenmiş bir GET isteği ekliyorum.
http://APIURL?req=ŞifrelenmişToken
İşlem yapacağım sayfada bu Token değerini kontrol ediyorum, eğer yok yada doğru değilse, sayfaya girişi engelliyorum. Umarım işinize yarar...