保護(hù)數(shù)據(jù)并防止JSON漏洞和劫持的方法

小編給大家分享一下保護(hù)數(shù)據(jù)并防止JSON漏洞和劫持的方法，希望大家閱讀完這篇文章后大所收獲，下面讓我們一起去探討吧！

JSON其實(shí)并不像我們認(rèn)為的那樣完全安全，黑客可以通過(guò)JSON數(shù)組中的跨站點(diǎn)請(qǐng)求偽造（CSRF）從不知情的用戶那里獲取敏感的用戶數(shù)據(jù)。

這主要是公開(kāi)包含JSON數(shù)組、敏感數(shù)據(jù)、響應(yīng)GET請(qǐng)求、啟用JavaScript的請(qǐng)求、支持_u defineSetter_方法的請(qǐng)求的JSON服務(wù)。

那么如何防止JSON漏洞，防止JSON劫持，即：防止CRSF攻擊，達(dá)到保護(hù)敏感數(shù)據(jù)的目的，這就是本篇文章要給大家介紹的。

1、所有請(qǐng)求方法都必須是POST并阻止您的代碼只接受POST請(qǐng)求（這是最重要的）

$ .ajax({
    url：'http://yourdomainname.com/login'，
    dataType：'json'，
    data：JSON.stringify(dataObject)，
    contentType：'application / json; charset=utf-8' ，
    type: 'POST'，
    success：function(jsonData){
        //成功回調(diào)
    }，
    error:function(){
        //要處理的任何錯(cuò)誤
    }
 });

2、在請(qǐng)求中添加唯一的CSRF令牌可防止應(yīng)用程序進(jìn)行cookie劫持和錯(cuò)誤請(qǐng)求。

3、始終在請(qǐng)求中使用安全傳輸協(xié)議（HTTPS）。

4、在提供對(duì)請(qǐng)求的響應(yīng)之前，檢查特殊標(biāo)頭，例如X-Requested-With：XMLHttpRequest或Content-Type：application / json。

5、管理用戶訪問(wèn)日志來(lái)檢查哪些用戶活動(dòng)。

6、使用API和結(jié)束URL身份驗(yàn)證來(lái)驗(yàn)證當(dāng)前端點(diǎn)。

7、使用基于令牌的API訪問(wèn)，例如JSON Web Tokens（JWT）。

8、實(shí)現(xiàn)錯(cuò)誤處理，不要在API調(diào)用中提供任何技術(shù)細(xì)節(jié)。

看完了這篇文章，相信你對(duì)保護(hù)數(shù)據(jù)并防止JSON漏洞和劫持的方法有了一定的了解，想了解更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！