Объясните безопасность AJAX?

Question

[cannabioid1337]

Недавно начал изучать AJAX и JS, не понимаю безопасность данного кода:

$.ajax({
type: "POST",
url: 'login.php',
data: UserId: <?php echo $_SESSION['userId'] ?>,
success: function(response) })

По идее когда страница загрузится, вставится значение userid из php, и его можно будет поменять через код элемента или я ошибаюсь?

Comments

[FanatPHP]

можно будет

[cannabioid1337]

FanatPHP, а значит это не безопасно да? как сделать это безопасным и чтоб не подменили?

[Ярослав Иванов]

cannabioid1337, валидировать на бэке.

[FanatPHP]

Смотря что.
В данном конкретном случае передавать с клиента на сервер переменную сессии - это эталонная бессмыслица.

[Алексей Ярков]

FanatPHP, более точного определения ситуации не придумать. Моё почтение))

Answer 1

[Сергей Соколов]

Всё, что уходит с клиента — подделывается;
Всё, что приходит на сервер — надо проверять.

Посмотрите на JSON Web Token (JWT, произносится "jot" «джёт») — это набор информации, который подписан и зашифрован секретным ключом. Ваш сервер мог бы отправлять в скрипт jwt, содержащий user_id, и подписанный секретным ключом, известным только серверу. Тогда на сервере можно проверить, что назад из AJAX-вызова придёт исходный токен и убедиться в его подлинности.

Comments

[FanatPHP]

Чуваки, ну вот мне правда интересно, хоть кто-нибудь из вас обратил внимание на переменную, которую он подставляет?

Ну какой нафиг «джёт» в РНР?
Какой смысл гонять информацию по каналу, если она спокойно может лежать на сервере?

[Сергей Соколов]

вижу вопрос в целом, абстрактно от неудачного примера.

[Анатолий Куликов]

FanatPHP, я честно, не совсем понял, как он в js вставляет переменную через php. Если только этот фрагмент кода генерируется при отрисовке страницы или имеет место быть генерируемый js на php.

[FanatPHP]

Анатолий Куликов, практически единственное, чем занимается РНР - это генерация HTML и JS