例如我们点击页面搜索按钮的时候,
会去执行一个ajax请求,如 api.com/Search?keyword=xxx
然后再用请求返回的数据刷新页面.
当然,搜索之类的API安全问题到不严重,
但涉及到充值,退款之类的和现金交易有关的功能时,安全问题就非常重要了.
先不说api.com/Trade?type=xxx之类的安全性如何,
从攻击的角度来讲,知道具体的API地址及参数后,可以构造一些合法的参数来调用API产生一些数据干扰网站的运行..
另外..
如果..是说如果哈,假如看某网站不顺眼,可以写一个程序无限的调用上边的API,加重对方服务器的负载...当负载到一定程度时对方网站就挂了.
那么在用ajax调用时,如何可以隐藏请求的API地址呢,哪位大侠知道请告诉我一下???
我看了一下淘宝的网站,硬是找不到一个有明确地址的API,感到很疑惑,他们是怎么做到的?
比如 搜索结果中的过虑条件:
可以看到a没有href=xxx,但是点击之后数据却过虑了..
再看看价格过虑按钮:
同样仅仅写了一个button,没有指定click=xxx,也没有指定ID,如果说通过外部js给按钮绑定事件的话,一个页面有多个button,也没有个ID来区分...是如何绑定的?
排序链接也一样..根本看不到它调用了哪个API来完成排序的
按下来看看立即购买和加入购物车..