Javascript AJAX安全规范_Javascript_Ajax_Security_Encryption

Javascript AJAX安全规范

javascript ajax security encryption

Javascript AJAX安全规范,javascript,ajax,security,encryption,Javascript,Ajax,Security,Encryption,有AJAX安全规范吗在进行XMLHttpRequest时，如果查询HTTPS url，浏览器是否会处理所有证书业务并正确加密请求（或使用已经存在的经过身份验证的隧道）？此模型中是否存在任何安全缺陷此外，AJAX还存在用户身份验证问题。这让我认为，使用用户密码加密AJAX请求的部分或全部可以解决一些身份验证问题。我见过一些令人印象深刻的基于javascript的加密工具。看起来，构建一个同时负责加密和身份验证（主机级和应用程序用户级）的单一系统有很大的潜力。然而，我还没有看到任何似乎“尝试过真

有AJAX安全规范吗

在进行XMLHttpRequest时，如果查询HTTPS url，浏览器是否会处理所有证书业务并正确加密请求（或使用已经存在的经过身份验证的隧道）？此模型中是否存在任何安全缺陷

此外，AJAX还存在用户身份验证问题。这让我认为，使用用户密码加密AJAX请求的部分或全部可以解决一些身份验证问题。我见过一些令人印象深刻的基于javascript的加密工具。看起来，构建一个同时负责加密和身份验证（主机级和应用程序用户级）的单一系统有很大的潜力。然而，我还没有看到任何似乎“尝试过真实的”东西

我的问题可以总结为：

安全AJAX也有规范吗使用浏览器技术或客户端侧javascript？什么它是？如果没有，是什么在阻止让我们用javascript构建一个

谢谢你，一如既往

Ajax本身并不引入新技术领域中的安全漏洞 web应用程序的开发。相反应用程序面临同样的安全问题作为经典web应用程序的问题。不幸的是，普通Ajax最好实践还没有形成,，这给我们留下了足够的空间出了问题

发件人：

通过HTTPS的SSL有点像是与目标服务器的合作企业。目标服务器将使用其身份证书（发送回客户端）报告其身份。这是协议的一部分，将加密客户端和服务器之间的数据流

但是，这只是对流进行加密，对其他几个安全问题没有任何影响。发出请求的用户实体的标识和认证通过其他方式处理。如果您使用SSL加密流，那么使用HTTP basic auth应该是安全的。之后，对身份验证的响应应该是发送回客户机的会话id，客户机将在所有后续请求中传回该id。应用服务器通常管理这些会话ID的创建。

基本身份验证是有意义的。我找到一篇解释如何做这件事的文章

不知何故，我仍然希望自己不要使用所有的浏览器技术和加密/验证东西。不确定这是否有意义。密钥缓存将很难实现

我仍在寻找这一点（在ajax调用中使用SSL+基本身份验证）是否是标准。

不是自己的加密。将使用其他人在javascript中实现的行业标准加密来构建自己的安全性。但我同意。