gpt4 book ai didi

javascript - 通过 HTTPS 在 AJAX 调用中返回 HTML 内容的风险

转载 作者:行者123 更新时间:2023-11-28 00:56:00 25 4
gpt4 key购买 nike

我想动态加载 HTML 内容,例如通过 AJAX 调用更新 Bootstrap 的模式对话框内容(因为刷新页面并再次显示模式很奇怪),但在这样做之前,我想知道什么这样做时我需要关注的风险以及可能的解决方案。

这样做的主要原因是我正在为 Liferay 开发一个 portlet,并且我希望动态更新我的 portlet 的内容而不刷新整个页面。

当然,我可以将 JSON 数据从服务器返回到客户端,但我必须编写复杂的客户端逻辑来更新 DOM,该逻辑在 JSP 中可能更容易完成

假设 Web 应用程序仅使用 HTTPS,不确定这是否有帮助。

最佳答案

基于 web 应用程序仅使用 HTTPS 的假设,让所有 AJAX 调用也使用它会非常好。这不会造成混合不安全和安全连接以及浏览器提供的警告对话框的破坏。

如果 HTML 的一部分是在其他地方生成的,或者它的一部分基于未经验证的用户输入,那么唯一的风险可能是由跨站点脚本造成的。

解决方案是始终验证并清理来自其他来源的输入。有关此的更多信息可以在这里找到:https://www.owasp.org/index.php/Data_Validation

关于javascript - 通过 HTTPS 在 AJAX 调用中返回 HTML 内容的风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26211739/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com