Beveiliging AJAX post request

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Yoeri Achterbergen

Yoeri Achterbergen

25/02/2021 00:34:44
Quote Anchor link
Goede avond,


Op het gebied van AJAX met gevoelige informatie ben ik nieuw en wil graag het volgende weten.
He gaat om een winkelwagen updaten en dan wel om het stukje verzending.

In de winkelwagen kun je kiezen voor verschillende verzendmethoden die elke zijn eigen kosten kent.
Het kiezen gaat d.m.v. een radio button, word deze veranderd dan word er een AJAX call gemaakt naar de PHP functie die de verzendkosten opslaat.
Bij sommige winkelwagens zie je dat ze een beveiliging's variabel meesturen die PHP dan eerst ontleed en als deze correct is word de functie uitgevoerd.

Mijn vraag is: Verzendmethoden is niet bepaald gevoelige informatie, waarom word er dan toch ook een stukje beveiliging meegestuurd?
 
PHP hulp

PHP hulp

19/04/2021 05:50:02
 
- Ariën -
Beheerder

- Ariën -

25/02/2021 00:52:38
Quote Anchor link
Normaal kan je een dergelijk script wat via AJAX wordt aangeroepen niet vanuit een andere domein aanroepen. Dit komt door de CORS-headers. Je kan het wel (helaas) weer via PHP bijvoorbeeld opvragen.

Ik durf te wedden dat ze met deze code willen voorkomen dat iemand het kan manipuleren of buiten de site om dingen kan versturen.
Gewijzigd op 25/02/2021 00:53:36 door - Ariën -
 
Yoeri Achterbergen

Yoeri Achterbergen

25/02/2021 00:58:02
Quote Anchor link
Word dit dan gedaan met een session met daarin een hash die AJAX dan meestuurt en check je dan met PHP of de sessionhash correct is tegen het manipuleren?
 
- Ariën -
Beheerder

- Ariën -

25/02/2021 01:30:38
Quote Anchor link
Dat zou zeker met sessions kunnen.
 
Thom nvt

Thom nvt

25/02/2021 08:01:02
Quote Anchor link
Zo'n beveiligingscode heet een CSRF-token.
CSRF staat voor Cross-site request forgery en is dus inderdaad om te voorkomen dat iemand vanuit een andere website zaken kan manipuleren.
Dit word inderdaad vaak opgelost met een random gegenereerd token dat in de sessie word opgeslagen en bij het indienen van het formulier word gevalideerd.
Er zijn prima libraries om het voor je op te lossen, zoals deze: https://github.com/GramThanos/php-csrf
 
Rob Doemaarwat

Rob Doemaarwat

25/02/2021 11:57:44
Quote Anchor link
Yoeri Achterbergen op 25/02/2021 00:34:44:
Verzendmethoden is niet bepaald gevoelige informatie, waarom word er dan toch ook een stukje beveiliging meegestuurd?

Ik neem aan dat het "de standaard" is van het gebruikte framework. Dat is meestal ook het eenvoudigst: dan hoef je er niet over na te denken. Beter een "lullige request" die toch/ook beveiligd is, dan een "belangrijke request" waarbij je het "net even vergeten bent".
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.