JavaScript AJAX sicher?

Hey Community, Habe momentan ein User Control Panel gemacht via PHP. Jetzt wollte ich mich ein bisschen weiterbilden und kam auf die Idee eine Single Page zu machen. Die Frage ist ob AJAX genauso (un)sicher ist wie PHP. Soweit ich das verstanden habe, via AJAX, gibt der User beim Formular ja loginname und pw an, dann übergebe ich die Daten an das JavaScript und er gibt dann via POST die Daten weiter an meine PHP Datei und via Echo kann ich auf das js antworten und dann entscheiden was damit gemacht wird.

Meine Frage: Wie sicher ist das? & kann der Nutzer das JavaScript einsehen, sowie den Quellcode?

5 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

tavkomann

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, Webseite

14.11.2017, 06:26

Die Frage ist ob AJAX genauso (un)sicher ist wie PHP.

Ich verstehe den Vergleich überhaupt nicht. PHP ist eine serverseitige Programmiersprache. Wie sicher das Script ist, hängt von dir ab. AJAX dagegen ist eine Technik, um Content asynchron nachzuladen, ohne die komplette Seite aktualisieren zu müssen. Es ist an sich keine neue Technologie, sondern nur ein neuer Ansatz, bereits vorhandene Technologien anders zu nutzen. Letztendlich steckt immer eine HTTP(S)-Verbindung dahinter. AJAX verändert nichts an der Sicherheit ebendieser.

Soweit ich das verstanden habe, via AJAX, gibt der User beim Formular ja loginname und pw an, dann übergebe ich die Daten an das JavaScript und er gibt dann via POST die Daten weiter an meine PHP Datei und via Echo kann ich auf das js antworten und dann entscheiden was damit gemacht wird.

Genau, wobei AJAX die Technik ist, die Daten zwischen JS und PHP austauschen zu können. Hier siehst du es: Es wird ebenfalls PHP verwendet, ob mit oder ohne AJAX. Aus diesem Grund macht dein Vergleich keinen Sinn.

kann der Nutzer das JavaScript einsehen, sowie den Quellcode?

Das kann er immer, sonst könnte der Browser die Seite gar nicht darstellen, wenn ihm der Code nicht bekannt ist. Was ist nun daran schlimm, wenn man den Code einsehen kann?

Prolativ

14.11.2017, 11:44

Weder PHP, noch AJAX ist unsicher. Der Code ist immer so sicher wie der Entwickler selbst programmiert hat.

Natürlich musst du auch gewisse Vorkehrungen treffen, damit deine Application sicher wird, dazu musst du dich unteranderem gegen folgende Sachen schützen:

XSS
CSRF
SQL-Injection

Zusätzlich solltest du auch HTTPS für deine Seite verwenden und folgende Header wie:

Strict-Transport-Security
Content-Security-Policy
X-XSS-Protection
X-Frame-Options
X-Content-Type-Options

Jetzt wollte ich mich ein bisschen weiterbilden und kam auf die Idee eine Single Page zu machen.

Für eine Single Page Application (SPA) würde ich dir Anguar 4 oder ReactJS empfehlen. Hier verwendet man nicht nicht wirklich AJAX sondern RxJS, was meiner Meinung nach viel strukturierter ist. Bei ReactJS bin ich mir aber nicht sicher, ob hier auch RxJS verwendet wird.

Meine Frage: Wie sicher ist das? & kann der Nutzer das JavaScript einsehen, sowie den Quellcode?

Wenn du das ganze über z. B. jQuery oder pures JavaScript löst, kann man auch die Abläufe nachvollziehen.

In z. B. Angular und ReactJS wird dein gesamtes Projekt compiliert und hier wird Reverse Engineering um einiges erschwert.

Dein HTML, CSS und JavaScript ist für den Nutzer immer einsehbar, dagegen kannst du nichts unternehmen. Aber das sollte dir keine Sorgen machen, da sich die eigentliche Geschäftslogik immer im Back-End abspielt, und nicht im Front-End.

ramiro15

14.11.2017, 12:13

Hi, andere sicheheitsrelevante Sachen wurden ja hier schon erläutert.

Gernerell solltest du darauf achten, dass die Daten immer an eine https:// Adresse gesendet werden. Diese werden dann Clientseitig verschlüsselt und an den Server übertragen.

Grüße

Solix99

14.11.2017, 05:54

das kann der Nutzer immer, auch bei Webseiten von google. du musst dir wegen sicherheit nur gedanken um xss, cross site scripting machen. ansonsten sehe ich keine sicherheitslücken

Das wann man mit Ajax und PHP machen kann, ist z. b. bilder auf der seite zu laden, die vorher nicht da waren und dabei nimmt man die daten vom webserver.

FiNaRy

Fragesteller

14.11.2017, 06:03

Soweit ich mich erinnern kann muss ich nur Zeichen sperren um sich gegen xss zu schützen. sowas wie <>{[]}=

Solix99

14.11.2017, 06:06

@FiNaRy

Ich weiß nicht inwiefern das möglich ist, aber es gibt auch sowas wie SQL Injection. Habe mich damit noch nicht auseinander gesetzt.

fluffiknuffi2

18.11.2017, 21:27

@Solix99

Ja die gibt es und wenn du ernsthafte (Web-)Backend-Programmierung (z. B. mit PHP) mit Datenbanken (z. B. mit MySQL) machst, dann solltest du dich damit mal ganz dringend beschäftigen! Hier ein kurzer Einstieg: https://php-de.github.io/jumpto/sql-injection/

fluffiknuffi2

18.11.2017, 21:24

Was du wohl meinst ist ein klassischer, vom Browser gehandelter, aufgrund eines Klicks auf einen Senden-Button in einem Formular mit der POST-Methode getriggerter Request versus einen AJAX-Request.

Die Antwort hängt dann von der Sichtweise ab.

Ich würde sagen: An sich ist das eine nicht sicherer als das andere.

In der Praxis musst du halt schauen, dass du das Nötige für die Sicherheit tust. Das musst du aber bei beiden Techniken. Z. B. einen CSRF-Token mit übertragen.

Woher ich das weiß:Berufserfahrung – Studium + Berufserfahrung

Hallo Leute,

Ich würde gerne Javascript Variablen an PHP übergeben.

Ich habe es bisher über die URL gemacht, aber das ist weit weniger elegant als ich es mir wünsche.

Nach einer Internet Recherche habe ich etwas gefunden von AJAX und das man damit in der Lage ist, eine JS Variable an PHP zu übergeben. Nur wie?

...zur Frage

Wie kann ich eine JavaScript-Variable via AJAX an PHP übergeben?

Hallo liebe Community,

ich möchte in JavaScript einen Text anhand von Eingaben eines Users zusammenbauen, was auch reibungslos funktioniert.

Da ich noch nie zuvor wirklich mit PHP gearbeitet habe, da ich bisher keinen Server benötigt habe, weiß ich leider nicht genau, wie man mit AJAX einen String bzw. den Text an PHP übergibt, um es dann als E-Mail mit der mail-Funktion von PHP weiterzuleiten.

Bevor ich hier Antworten erhalte, ob ich nicht wüsste, was PHP ist: Doch dies weiß ich und möchte wirklich nur wissen, wie genau ich den AJAX-Request erstellen muss, um diese Variable an PHP zu versenden. Wenn dies geschehen ist, muss allerdings auch PHP darauf reagieren. Wie stelle ich das an?

...zur Frage

ajax: Befehl an .php senden, wie?

ich habe dieses voting-script : http://jsfiddle.net/946sf3va/

beim kommentar // AN vote.php soll jetzt an die php gesendet werden dass gevotet wurde, doch wie geht das ? habs mal so mit ajax probiert aber dann ist das ganze JS kaputt :

$.ajax({
	type: 'POST',
	url: 'vote.php',
	data: formData
});

ich will einfach nur das +1 als POST an die php haben, nur das ist mein problem.

danke für hilfen !

...zur Frage

Wie kann ich ein Textfeld ausgeben, ohne die Seite neuladen zu lassen?

Hallo,

ich habe die letzten Tage damit verbracht, eine Wirtschaftssimulation mit PHP zu erstellen. Diese basiert auf anfangs wahren Zahlen, die sich in einer for-Schleife von Jahr zu Jahr zufällig abändern.

Soweit funktioniert alles. Es werden alle Daten über BIP, Inflation, Leitzinsen, Nachfragen in verschiedenen Bereichen und so weiter ausgegeben. Da das nach einigen 100-200 Schleifendurchläufen etwas unübersichtlich aussah, entschied ich mich, einen kleinen Chatbot zu bauen, der bei bestimmten Schlüsselwörtern die entsprechenden Daten zu dem Jahr ausspuckt. Soweit so gut.

Mein Problem ist, dass ich nicht weiß, wie ich die Schlüsselwörter aus dem Textfeld ausgeben lassen kann, ohne dass sich die Seite neulädt und sich somit die Daten verändern.

Ich dachte da zunächst an AJAX, doch da mein JavaScript etwas eingerostet ist, wollte ich nach Alternativen suchen. Hättet ihr Vorschläge oder könntet mir bei dem AJAX-Versuch helfen? Ich brauche nur die Infos aus dem Textfeld in eine PHP-Variable, ohne dass sich die Seite neulädt.

Danke im Voraus.

...zur Frage

JavaScript: Ajax: Weiterleitung bei success?

ich habe ein normales HTML-form und ajax dahinter mit einer div wo text ausgegeben wird. bei Erfolg soll jetzt aber eine weiterleitung stattfinden, wie mach ich das ? einfach mit header in der php-datei geht ja nicht...

...zur Frage

Projekt Dashboard mit SQL, PHP, JS, HTML?

Hallo,

und zwar habe ich ein Projekt in dem ich SQL Daten abfrage, bearbeite und in einem Webinterface visualisiere (quasi eine Art Dashboard). Aktuell habe ich ein PHP Skript geschrieben, dass die Datenbank abfrägt aber in einer Schleife ziemlich oft ein neues dynamisches SQL Query erstellt, um bestimmte Werte in der Datenbank abzufragen. Das dauert relativ lange, da teilweise nur einzelne Werte durch die SQL Query zurückkommen und quasi jedes Mal ein neuer Datentunnel aufgebaut wird.

Jetzt wäre meine Frage, ob es auch eine Möglichkeit gibt die Datenbank einmal komplett abzufragen und anschließend beim Client zu bearbeiten und auszuwerten, indem man die Daten beispielsweise in ein Javascript Array oder ähnliches schreibt. Ein paar Werte muss ich erst errechnen bevor sie dargestellt werden, weshalb ich um Javascript wahrscheinlich nicht herumkomme.

Und wären Objekte in Javascript bei der Abfrage hilfreich?

Bin noch ziemlich neu auf diesem Gebiet und bin um jede Antwort dankbar.

...zur Frage

Daten aus MySQL auf Website darstellen?

Ich habe Daten in einer MySQL Datenbank, die ich gerne auf einer Website darstellen möchte, jeweils immer beim Klick auf einen Button (pro Button eine etwas andere Abfrage)

Eine entsprechende Abfrage dafür wird in JavaScript bereits erstellt.

Jetzt müssen die Daten nur noch abgerufen und eingefügt werden. - Nach allem, was ich gelesen habe, soll es sehr umständlich sein, MySQL in JavaScript zu verbinden.

Bisher habe ich probiert, die Abfrage per Cookie in PHP zu übertragen, dort die Daten abzufragen und zu echoen - das ganze mit einem getElementById().innervalue = ..., sodass immer die aktuelle Abfrage im DOM-Element ist, das passiert aber nur beim ersten Mal.

Das Abfragen der Daten in PHP und Zurückgeben an JS hat weder über einen Cookie, noch ein echo funktioniert.

...zur Frage

Javascript Ajax Php kein Wert?

Console:

HTML javascript Code ajax:

function send(text){
   console.log("Text kurz vor versenden:\n" +text);
//hier hat er noch einen wert
   $.ajax({
     method: "POST",
     url: "DataSender.php",
     data: { text: text}
   }).done(function( response ) {
       console.log(response);
     console.log("weiterleitung

Php Code Ajax Übertragung wo es nicht geht:

      $text = $_POST['text'];
      $sql = "INSERT INTO `Xss-Data` (`ID`,`DATA`, `created_at`) VALUES (null, '{$text}' , CURRENT_TIMESTAMP)";

      if (empty($text)) {
              //das ist empty!
              echo("Error:\nEs ist leer\nText wäre\n$text");
          } else

Sind die wichtigen Code snippets

Der String hat keinen Wert. Warum? Wie löst man das?

...zur Frage

Javascript chat (ganz ohne php) programmieren

Hallo Leute ich will auf meiner website einen chat haben mit dem man einfach schreiben kann (ohne regiestrierung und so) und die anderen Leute auf der website dann sehen können. Ich weiß nur nicht wie des genau (obwohl ich grundkenntnise hab mit javascript) geht. wie geht das ??? (bitte mit quellcode). Irjendwie geht PHP nicht bei mir deswegen bitte ganz ohne PHP

...zur Frage

Multiplayer Game mit Javascript Ajax?

Hallo,

Ich möchte ein Spiel entwickeln, welches auf JS, PHP und MYSQL basiert.

Da kommt man ja so auf Ideen ein Brettspiel zu entwickeln, aber irgendwie reizt das nicht. Ich möchte in diesem Projekt mehr auf Ajax eingehen und diese stärker nutzen. Mich interessiert halt, wie sich das alles im Backend verhält.

Ich hab mir schon etwas agario ähnliches zusammen gebastelt, aber da läuft halt garnichts flüssig, das ist halt extrem asynchron. Da die Positionen der Spieler in der Datenbank gespeichert wird und abgefragt wird.

Hoffe ihr habt geile Ideen. Danke euch!

Ps: Ich wähle bewusst Ajax aus und nicht Websocket.

...zur Frage

Wie kann ich ein PHP-Array in eine externe JS-Datei übergeben?

Ich habe ein PHP-Skript, welches mir ein Array mit allen Ordnern aus einem Ordner wiedergibt (die Anzahl dieser Ordner kann sich verändern).

Dieses Array brauche ich aber in einer externen JS-Datei und die einzige wirkliche Möglichkeit, welche ich gefunden und verstanden habe, ist die, dass man Parameter in einem Skript Namen übergibt.

Also so:

<script type="text/javascript" src=test.js?parameter1=xy"></script>

Aber das begrenzt mich auf eine feste Anzahl, soweit ich das verstanden habe und damit kann ich leider nichts anfangen. ;(

Also ist meine Frage, wie ich dieses Array anders übergeben kann.

Ich bin noch eher ein Neuling in PHP und JS und hoffe einfach mal, dass diese Frage nicht allzu dumm ist. :P

(Meine Kenntnisse: Java = Experte; HTML, CSS = Fortgeschritten; JS, PHP = Neuling).

Schon einmal danke für jede Antwort.

...zur Frage

Was kann Javascript, dass PHP nicht kann?

Hallo,

ich habe einen ersten Einblick ins Webdesign genommen und mich ein wenig mit JS und PHP beschäftigt. Da kommt mir die Frage:

Wofür Javascript? Formularüberprüfungen, Datenverarbeiten usw lässt sich doch alles mit PHP realisieren.

Oder gibt es etwas, dass nur JS kann?

Danke sehr

...zur Frage

Php function von HTML aufrufen?

Ich will mit js in einer js function eine php function aus einer php file ausführen die mit Parameter aus der html Daten an meine Datenbank verschickt

...zur Frage

PHP Funktion aufrufen?

Ich habe eine PHP Funktion in einer anderen ausgelagerten Datei und möchte diese jetzt in einer JavaScript Funktion aufrufen siehe Quellcode:

was mache ich falsch und bitte mit Lösungsvorschlägen


function PersonXSenden()
{
   InhaltPersonX = document.getElementById("X").value;
   console.log(InhaltPersonX);
   document.cookie = "XCookie = " + InhaltPersonX;
   test3();

   <?php
       include "Chat2.php";
       test();
   ?>
}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen