AJAX请求是否真的不安全？谈一谈Web安全与AJAX的关系

开篇三问

前言

日前网络中流行围绕AJAX和安全风险的讨伐声浪让人不绝于耳。下面就来详细谈一谈Web安全与AJAX的关系。

本文包含的内容较多，包括AJAX，CORS，XSS，CSRF等内容，要完整的看完并理解需要付出一定的时间。

另外，见解有限，如有描述不当之处，请帮忙及时指出。

正文开始...

从入坑前端开始，一直到现在，AJAX请求都是以极高的频率重复出现，也解决过不少AJAX中遇到的问题，如跨域调试，错误调试等等。

从这种，发现了一个共通现象：那就是每次和后台人员对接时，他们都会提到AJAX请求不安全，请用普通http请求！

虽然很多时候，都是经过多翻口舌之争后，最终后台那边妥协，允许部分符合条件的AJAX请求。但是，我却很纠结一个问题：AJAX请求真的不安全么？为什么我自己写后台时并没有发现这个问题？

于是，开始准备搜集资料，结合自己已有的认知，整理成一份解决方案，分析AJAX请求真的不安全么？哪里不安全？，后续遇到类似的问题就直接向对方抛出一篇文章

大纲

AJAX请求真的不安全么

常见的几种Web前端安全问题

AJAX和HTTP请求的区别

CORS与AJAX安全性之间的关联

再看，AJAX请求真的不安全么？

AJAX请求哪里不安全？

怎么样让AJAX请求更安全？

AJAX请求真的不安全么

首先，先说一个定论：AJAX请求是否安全，由服务端（后台）决定

有这样一个说法：如果某个Web应用具备良好的安全性，那么再怎么用“不安全的AJAX”也削弱不了它的安全性，反之如果应用本身存在漏洞，不管用何种技术请求，它都是不安全的

为何会有这种说法？因为在Web应用中，客户端输入不可信是一个基本原则

AJAX不安全的说法从何而来？

在AJAX出现时，那时的服务端还是很古老的那一批，因此完全没有考虑到AJAX出现后，前端请求方式会变得异常复杂，造成以前的安全策略已经无法满足要求了，导致大批的后台安全漏洞曝光。。。

很显然，都是因为AJAX出现后曝光了更多的安全漏洞，导致它看起来很危险（因为AJAX出现后，请求方式变多了，以前的架构在新的请求中就可能出现更多漏洞）