Goede avond,
Is er een manier om de URL die word aangeroepen met de AJAX call te verbergen / onzichtbaar te maken?
2.024 views
Je kan het script obfuscaten. Maar uit ervaring weet ik dat virusscanners vaak hierop aanslaan.
Zorg gewoon dat je script goed veilig is, zodat die bijvoorbeeld een sessie verwacht.
Zorg gewoon dat je script goed veilig is, zodat die bijvoorbeeld een sessie verwacht.
Wat wil je verbergen en waarom? Het gaat om info die naar de client gaat, dus uiteindelijk krijgt ie het toch wel te zien (of kan ie het via via inzien).
Als je bang bent dat iemand dit gaat misbruiken voor een soort "scrape" actie kun je dit op andere manier "voorkomen" (ingelogde sessie vereisen, rate limiting, enz).
Als je bang bent dat iemand dit gaat misbruiken voor een soort "scrape" actie kun je dit op andere manier "voorkomen" (ingelogde sessie vereisen, rate limiting, enz).
Anyway, ook als je de boel gaan obfuscaten, dan kan iemand altijd via de Network-tab kijken welke request er plaats vindt. Dus zog dat je je uitgevoerde script beveiligt, zoals Rob zegt.
Je zou ipv met "AJAX" ook met Web-Sockets kunnen gaan werken. Maak je het jezelf een tikkie moeilijker, maar dan is er geen echte URL meer (maar een "protocol" qua aanroep volgorde, dat je zelf kunt opstellen - en controleren uiteraard). Voor de "leesbaarheid" maakt het niet uit: ook de data die door een socket gaat (en dus de payload en volgorde van de requests) kun je via de "network inspector" meelezen.
Zoals eerder aangehaald lijkt het mij beter dat het request transparant is, en inherent veilig. Maak gebruik van tokens / sessies om de boel te beveiligen.
Als je jezelf de vraag moet stellen hoe je iets kunt verbergen, dan houdt dat ofwel in dat je iets te verbergen hebt, of dat datgene om te beginnen al niet erg privé is (en daarmee dus onveilig), of beide.
Indien je "verdoezeling" gebruikt als veiligheid dan is deze "beveiliging" meestal zo gekraakt.
Ook is het natuurlijk interessant om te weten waarom de informatie / het request niet opgepikt mag worden. Meestal is de eindconclusie als je hierop doorvraagt dat je ontwerp niet echt helemaal jofel is.
Als je jezelf de vraag moet stellen hoe je iets kunt verbergen, dan houdt dat ofwel in dat je iets te verbergen hebt, of dat datgene om te beginnen al niet erg privé is (en daarmee dus onveilig), of beide.
Indien je "verdoezeling" gebruikt als veiligheid dan is deze "beveiliging" meestal zo gekraakt.
Ook is het natuurlijk interessant om te weten waarom de informatie / het request niet opgepikt mag worden. Meestal is de eindconclusie als je hierop doorvraagt dat je ontwerp niet echt helemaal jofel is.