Javascript 异步XHR的安全实现

我是通过谷歌发现的，我非常熟悉通过Javascript填充div的技术。我想知道的是，这是否是请求异步页面内容的安全方法？如果不是，那么什么是部分页面加载的安全解决方案

---

非常感谢：

Ajax调用是HTTP请求

用于普通post和get的安全实践同样适用于Ajax post和get

人们都很害怕，因为我可以在Firebug中看到我的Ajax调用，人们可以看到调用的URL。任何人都可以通过一个简单的代理看到您对后端的调用

唯一不同的是，Ajax调用更容易受到XSS的攻击，因为人们倾向于使用innerHTML处理响应中的任何内容。真正发生这种情况的唯一方法是，如果服务器被破坏并发送坏信息，或者发生中间人攻击

但是当你看到它的时候，同样的东西可以被注入正常的get

您应该确保您仍然在服务器上为Ajax后端调用使用身份验证，您应该验证服务器上的数据，在客户端添加基本的安全检查，并避免eval[使用JSON.parse或JSON.js]

---

OWASP有一些问题。

这个问题令人困惑。比什么更好更安全？异步性与安全性有什么关系？我也不确定XSS预防与安全性有什么关系；这对于任何类型的HTTP事务都可能是一个问题。此外，背后的代码将变得晦涩难懂，因为它存在于服务器上。在某种程度上，有一个URL可以发布到，它是否是XHR真的没有什么区别，除了一些可能的反CSRF方案。请注意，我问是否有更安全的方法。根据我在ASP.NET安全性上的Wrox boon，可以将代码注入Javascript http请求，这对我来说很有意义，因为用户可以看到所有客户端脚本。我不明白为什么我的问题如此令人困惑。再说一次：一种比什么更安全的方式？当然，这个问题不会让你感到困惑这证明不了什么，因为这是你的问题。我必须同意其他人的看法。很难理解你到底在问什么。首先，伟大的提示链接似乎与您的安全问题无关。第二，你问这是否真的是一个安全的方法，我不知道你说的是什么方法，因为你没有描述它或包含代码示例，只有一个参考，让我对你讨论的方法感到困惑。你可以防御性地坚持你的问题是明确的，但如果不澄清，你不可能找到帮助。请试着澄清你的问题。太棒了！！非常感谢你。你准确地回答了我的问题，也谈到了我熟悉的问题。收到别人这样的无礼，我非常感激@希拉米苏：冷静点。一点也没有人对你无礼。@Chiramiso:你觉得被什么攻击了吗？要求澄清？在你的第一个问题上投了一个错误的反对票？我想，是时候进行现实检查了。再读一遍你收到的评论，告诉我哪里有人攻击你。@Tomalak:算了吧，伙计，这不值得。干杯@希拉米苏你无论如何都很难回答这个问题。