首页 新闻 会员 周边 捐助

大侠们..请问你们是怎么解决ajax调用安全问题的?

0
悬赏园豆:50 [已解决问题] 解决于 2015-07-27 09:20

例如我们点击页面搜索按钮的时候,

会去执行一个ajax请求,如 api.com/Search?keyword=xxx

然后再用请求返回的数据刷新页面.

 

当然,搜索之类的API安全问题到不严重,

但涉及到充值,退款之类的和现金交易有关的功能时,安全问题就非常重要了.

先不说api.com/Trade?type=xxx之类的安全性如何,

从攻击的角度来讲,知道具体的API地址及参数后,可以构造一些合法的参数来调用API产生一些数据干扰网站的运行..

另外..

如果..是说如果哈,假如看某网站不顺眼,可以写一个程序无限的调用上边的API,加重对方服务器的负载...当负载到一定程度时对方网站就挂了.

 

那么在用ajax调用时,如何可以隐藏请求的API地址呢,哪位大侠知道请告诉我一下???

 

我看了一下淘宝的网站,硬是找不到一个有明确地址的API,感到很疑惑,他们是怎么做到的?

比如 搜索结果中的过虑条件:

可以看到a没有href=xxx,但是点击之后数据却过虑了..

 

再看看价格过虑按钮:

同样仅仅写了一个button,没有指定click=xxx,也没有指定ID,如果说通过外部js给按钮绑定事件的话,一个页面有多个button,也没有个ID来区分...是如何绑定的?

 

排序链接也一样..根本看不到它调用了哪个API来完成排序的

按下来看看立即购买和加入购物车..