Лучший способ обезопасить приложение AJAX

В настоящее время я работаю над аутентификацией сайта, основанного на AJAX, и мне было интересно, есть ли у кого-нибудь какие-либо рекомендации относительно лучших практик для такого рода вещей.

Мой оригинальный подход был системой, основанной на cookie. По сути, я установил cookie с кодом авторизации, и каждый доступ к данным менял cookie. Кроме того, всякий раз, когда происходила неудачная аутентификация, все сеансы этого пользователя де-аутентифицировались, чтобы не допустить угонщиков. Чтобы перехватить сеанс, кому-то придется оставить себя в системе, а хакеру нужно будет отправить самое последнее обновление cookie, чтобы подделать сеанс.

К сожалению, из-за особенностей AJAX, при быстром выполнении нескольких запросов они могут выйти из строя, неправильно установить cookie и прервать сеанс, поэтому мне нужно переопределить.

Мои идеи были:

A decidedly less secure session based method using SSL over the whole site (seems like overkill) Using an iFrame which is ssl authenticated to do secure transactions (I just sorta assume this is possible, with a little bit of jquery hacking)

Проблема не в передаваемых данных, а в том, что кто-то может получить контроль над чужой учетной записью.

Определенно менее безопасный метод на основе сеанса

Ответы на вопрос(6)

Ваш ответ на вопрос