La sicurezza di AJAX - Attenzione agli attacchi che sfruttano XMLHttpRequest, spiano il codice e iniettano script

Ajax permette di creare delle interfacce Web ricche e interattive, per questo motivo è diventato di recente molto popolare ed utilizzato in un numero sempre crescente di Applicazioni Web.

Alcuni specialisti hanno fatto notare come Ajax può essere poco sicuro se non si prestano le dovute attenzioni quando si progetta l'applicazione web.

Per un attacco si può sfruttare l'oggetto XMLHttpRequest. Spiando il codice della pagina visualizzata dall'oggetto si può risalire alle pagineche vengono richiamate e ai parametri che si trasmettono.
Una volta che si stabilisce come l'oggetto XMLHttpRequest comunica, è possibile iniettare adeguati script.

Naturalmente da tutto ciò ci si può proteggere osservando alcune smplici regole:

Verificare la vulnerabilità agli attacchi SQL Injections;
Verificare la vulnerabilità a Javascript Injections;
Portare la logica di business al lato server
Effettuare la validazione dei dati
Verificare le intestazioni delle richieste HTTP dal punto di vista della correttezza.