IT公司面试手册

AJAX技术已经是现在最流行的Web应用开发技术了，但是与此同时，Web应用也成了这个IT架构中安全最薄弱，最容易受到攻击的部分，AJAX应用相比较与传统的Web应用，大大增加了客户端与服务器之间的交互，同时也使得一些后台的业务逻辑接口暴露给了客户端，如果服务器端没有足够的保护或者没有对客户端请求进行合法性校验，攻击者就会趁虚而入，进入系统内部进行破坏。开发人员如何才能在开发工程中保证AJAX应用的安全呢？ 一下是我搜集资料总结出来的一些checklist和best practices，希望对大家有所帮助。

1. 输入校验，这一部分已经在我的上一篇blog 如何进行Web应用的安全测试和输入校验 中进行了说明，进行输入校验有两种方式，一种是Blacklisting: 就是列出所有非法的输入进行屏蔽；另外一种是Whitelisting: 就是列出合法的输入格式，只要不属于这种格式都划为非法格式进行屏蔽。安全方面来说，Whitelisting比Blacklisting有更高的安全性。

2. 尽量避免动态的生成和执行code, 在javascript中尽量避免使用eval函数。

3. 在使用json对象之前对它进行校验，因为json对象也是javascript的一部分，所以json对象里面也有可能包含有有害的代码，所以在使用之前要对json进行校验，以保证json对象是安全的，校验的方法可以使用正则表达式进行也可以使用一个json parser进行转换，然后再使用。

4. 在引用不可信的内容的时候尽量使用iframe的方式。

5. 不要一刀切的使用AJAX, AJAX的作用是提高应用的交互性，所以之需要在交互性比较强的地方才使用ajax, 其他如之需要展示信息的地方使用传统的方式安全性更高。

6. 尽量使交互的网络传输量最小，ajax频繁的交互不但对应用性能有影响，对安全也是很大的隐患，所以要尽可能在最需要的地方使用ajax, 不要用ajax执行大的局部刷新操作

7. 最后可以使用一些ajax的安全检查工具进行检查。