Sécurité avec AJAX : vos scripts sont-ils sûrs?

Ajax!AJAX c’est super, tout le monde en veut pour son site Web 2.0.

Le problème c’est qu’on s’intéresse plus souvent au côté purement fonctionnel qu’à la performance… ou au côté sécurité…

En fait, à moins de mettre en place des contrôles, AJAX ne fait pas la différence entre une requête XMLHttpRequest faite via le script ou une requête bidon appelée par un script externe au site d’origine.

D’où une liste de points à vérifier lors de la conception de sites basés sur AJAX:

  • Méthode GET : à éviter! N’importe qui peut modifier une querystring et bonjour les problèmes classiques d’échappements de chaînes, de vérification syntaxiques, etc…
    Comme dans toute appli Web, faut être un peu parano: POST est votre ami🙂
  • user-agent : est-ce bien IE ou Firefox qui se sert du script? Penser à restreindre l’accès par exemple. Encore une fois c’est une précaution de principe car certains scripts peuvent “spoofer” un user-agent.
  • referrer : une bonne idée serait de bloquer toute requête émanant d’un site différent de l’origine.
  • Cookies : miam!
  • Traffic web : vérifiez d’où viennent les requêtes pour identifier les mauvais plaisants et sécuriser votre AJAX!
  • Codez vos requêtes avec des identifiants uniques mais valides🙂

Sur ce, bon dev!
Un très bon article de darknet.org résume la situation:

Darknet: Ajax – Is your application secure enough? English

2 Responses to “Sécurité avec AJAX : vos scripts sont-ils sûrs?”


  1. 1 Fross March 6, 2007 at 12:47 pm

    Salut,
    Dans la sécurité tu parle du referrer, sur FireFox impossible de le réuprer.

    Tu as une idée

  2. 2 Julien Coquet March 6, 2007 at 1:29 pm

    document.referrer devrait faire l’affaire, même sous Firefox


Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s




Welcome to Julien Coquet’s blog!

This blog is titled Negligible Quantities, after these small details that you always miss... and that end up messing up your plans!

Web culture in general and Web Analytics in particular depend on details. Most of my posts relay information that consists of details of importance to me.

I am Country Manager for France for the Web Analytics Association (WAA)

Bienvenue sur le blog de Julien Coquet

Ce blog est un espace où je parle de ces petits détails chers à mes analyses du Web.

Vous y trouverez des billets sur mon humeur du moment, mes coups de coeurs mais aussi mes coups de gueule :-)

Je suis responsable pour la France de la Web Analytics Association (WAA)

Le nom du blog, Negligible Quantities, est inspiré de Manu Larcenet et de ses Quantités Négligeables

April 2006
M T W T F S S
« Mar   May »
 12
3456789
10111213141516
17181920212223
24252627282930

Blog traffic

  • 52,903 views

Flickr Photos

Duck and candied potatoes

Cassoulet & Fitou

Mother in law's foie gras

HPIM2826

More Photos

RSS Digg!

  • An error has occurred; the feed is probably down. Try again later.

RSS Follow me on Twitter

  • An error has occurred; the feed is probably down. Try again later.

%d bloggers like this: