Le contenu de cet article est de présenter comment protéger les données et prévenir les vulnérabilités JSON et le piratage. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer. .
JSON n'est pas aussi complètement sécurisé qu'on le pense, et les pirates peuvent obtenir des données utilisateur sensibles auprès d'utilisateurs sans méfiance via Cross-Site Request Forgery (CSRF) dans les tableaux JSON.
Cela expose principalement les services JSON contenant des tableaux JSON, des données sensibles, des réponses aux requêtes GET, des requêtes compatibles JavaScript et des requêtes prenant en charge la méthode DefineSetter.
Alors, comment prévenir les vulnérabilités JSON et le détournement JSON, c'est-à-dire prévenir les attaques CRSF et atteindre l'objectif de protection des données sensibles, c'est ce que cet article vous présentera.
1. Toutes les méthodes de requête doivent être POST et empêcher votre code d'accepter uniquement les requêtes POST (C'est la plus importante)
$ .ajax({ url:'http://yourdomainname.com/login', dataType:'json', data:JSON.stringify(dataObject), contentType:'application / json; charset=utf-8' , type: 'POST', success:function(jsonData){ //成功回调 }, error:function(){ //要处理的任何错误 } });
2. L'ajout d'un jeton CSRF unique empêche les applications de détourner des cookies et de mauvaises requêtes.
3. Utilisez toujours HTTPS dans les requêtes.
4. Avant de fournir une réponse à la demande, vérifiez les en-têtes spéciaux tels que X-Requested-With : XMLHttpRequest ou Content-Type : application/json.
5. Gérez les journaux d'accès des utilisateurs pour vérifier quelles activités des utilisateurs.
6. Utilisez l'API et l'authentification par URL de fin pour authentifier le point de terminaison actuel.
7. Utilisez un accès API basé sur des jetons, tels que les jetons Web JSON (JWT).
8. Implémentez la gestion des erreurs et ne fournissez aucun détail technique dans les appels d'API.
Résumé : Ce qui précède représente l'intégralité du contenu de cet article, j'espère qu'il sera utile à l'étude de chacun.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!