Совет безопасности для jQuery ajax сообщение данных?

Любой запрос, который могут сделать вызовы Ajax на Ваших страницах, может также быть выполнен кем-то за пределами приложения. При правильной организации Вы не будете в состоянии сказать, были ли они сделаны как часть вызова Ajax от Вашего веб-приложения или ручными/другими средствами.

существует два сценария, о которых я могу думать, который Вы могли бы говорить о том, когда Вы говорите, что хотите удостовериться, что только Ваши вызовы Ajax могут отправить данные: или Вы не хотите, чтобы злонамеренный пользователь был в состоянии отправить данные, которые вмешиваются в данные другого пользователя, или Вы на самом деле хотите ограничить сообщения тем, чтобы быть в "потоке" операции мультизапроса.

, Если Вы обеспокоены первым случаем (кто-то отправляющий злонамеренные данные на другого пользователя) решением является то же, используете ли Вы Ajax или не - просто необходимо аутентифицировать пользователя через любые средства, необходимо - обычно с помощью сеансовых куки.

, Если Вы обеспокоены вторым случаем, тогда Вы оказываетесь перед необходимостью делать что-то, любят, выпускают уникальный маркер на каждом шаге процесса и хранят ожидаемый маркер на стороне сервера. Тогда, когда запрос выполнен, проверьте, что существует соответствующая запись на стороне сервера для мер, которые принимаются и что ожидаемые маркеры соответствуют и что тот маркер еще не использовался. Если существует не, Вы отклоняете запрос, если существует, то Вы отмечаете тот маркер, как используется и обрабатываете запрос.

, Если то, чем Вы обеспокоены, является чем-то другим, чем один из этих двух сценариев тогда, ответ будет зависеть от большего количества специфических особенностей, чем Вы обеспечили.