Vấn đề bảo mật trong ứng dụng Ajax
AJAX là gì?
AJAX, viết tắt từ Asynchronous JavaScript and XML (JavaScript và XML không đồng bộ), là bộ
công cụ cho phép tăng tốc độ ứng dụng web bằng cách cắt nhỏ dữ liệu và chỉ hiển thị những gì
cần thiết, thay vì tải đi tải lại toàn bộ trang web. AJAX không phải một công nghệ đơn lẻ mà là
sự kết hợp một nhóm công nghệ với nhau. Trong đó, HTML và CSS đóng vai hiển thị dữ liệu,
mô hình DOM trình bày thông tin động, đối tượng XMLHttpRequest trao đổi dữ liệu không
đồng bộ với máy chủ web, còn XML là định dạng chủ yếu cho dữ liệu truyền. Đây đều là công
nghệ sẵn có nhưng Javacript đã lắp ráp chúng lại để thực hiện nhanh hơn, tốt hơn các yêu cầu
của người sử dụng
AJAX được cải tiến như thế nào so với các ứng dụng Web truyền thống?
Đối với ứng dụng Web truyền thống, hoạt động của người sử dụng trên trang web sẽ tạo ra một
yêu cầu HTTP tới máy chủ. Máy chủ thực hiện một số khâu xử lý như lấy lại dữ liệu, tính toán,
kiểm tra sự hợp lệ của thông tin, sửa đổi bộ nhớ, sau đó gửi lại một trang HTML hoàn chỉnh tới
máy khách. Về mặt kỹ thuật, phương pháp này cũng khá bất tiện và mất thời gian, bởi khi máy
chủ đang thực hiện nhiệm vụ của nó thì người dùng chỉ có một việc là chờ đợi.
Để khắc phục hạn chế trên, các chuyên gia phát triển giới thiệu hình thức trung gian - cơ chế xử
lý AJAX (AJAX Engine) - giữa máy khách và máy chủ. Điều này giống như việc tăng thêm một
lớp giữa cho ứng dụng để giảm quá trình đi lại của thông tin và giảm thời gian phản ứng. Mọi
thao tác của người sử dụng sẽ gửi lệnh JavaScript tới bộ xử lý AJAX, thay vì tạo ra một yêu cầu
HTTP (HTTP request) và truy vấn tới máy chủ. Thay vì tải lại (refresh) toàn bộ một trang, nó chỉ
nạp những thông tin được thay đổi, còn giữ nguyên các phần khác.
Những vấn đề bảo mật gì tồn tại trong ứng dụng AJAX?
Trong khi AJAX có thể tăng khả năng sử dụng ứng dụng Web với các ưu điểm của mình, nó
cũng đồng thời tạo ra nhiều vấn đề về bảo mật ở cả hai phía máy khách (client) và máy chủ
(server):
• Tạo nên một diện tấn công lớn hơn trước với nhiều dữ liệu vào (input) cần bảo vệ
• Phơi bày những chức năng ở bên trong của ứng dụng Web
• Cho phép các kịch bản (script) phía máy khách truy xuất đến tài nguyên của bên thứ ba.
Điều này rất nguy hiểm nếu như không xây dựng một cơ chế bảo mật tốt.
Tăng khả năng bị tấn công

Trong khi ứng dụng Web truyền thống được chứa toàn bộ trên máy chủ thì ứng dụng AJAX
được mở rộng qua cả hai phía máy khách và máy chủ. Việc này đòi hỏi phải bổ sung một mối
quan hệ tin cậy giữa máy khách và máy chủ. Và mối quan hệ này có thể bị khai thác bởi kẻ tấn
công.
Nếu ví một ứng dụng Web truyền thống như là một ngôi nhà chỉ có hai cửa ra vào và không có
cửa sổ thì chỉ có hai cách để đi vào nó: bằng cổng trước và bằng cổng sau. Tuy nhiên, trong một
ứng dụng AJAX, có rất nhiều yêu cầu được gửi đi và sẽ tạo nên rất nhiều input vào ứng dụng.
Những input này, còn được gọi là AJAX endpoints, cung cấp nhiều cách cho kẻ tấn công xâm
nhập ứng dụng cũng như một ngôi nhà dù có khóa hai cửa chính thì vẫn còn rất nhiều cửa sổ
không được bảo vệ.
Rò rỉ thông tin
JavaScript trong AJAX nhận yêu cầu của người dùng và thực hiện chức năng gọi đến máy chủ
dưới dạng dữ liệu văn bản (cleartext). Ví dụ như:
• Trả về giá của sản phẩm có ID là 24
• Trả về các thành phố chính xác của bang được yêu cầu
• Trả về địa chỉ chính xác gần nhất của người dùng có ID là 78
• Cập nhật tuổi của người dùng trong cơ sở dữ liệu
Những thông tin này được gửi đi dưới dạng cleartext, và hoàn toàn có thể bị khai thác bởi kẻ tấn
công. Từ những thông tin này, kẻ tấn công có thể biết được tên hàm, tên biến, các thông số của
hàm, kiểu trả về, kiểu dữ liệu và phạm vi chính xác của dữ liệu.
Kẻ tấn công xuất hiện trong ứng dụng AJAX
Từ chối yêu cầu và lỗi Cross-Site Scripting (XSS)
Trình duyệt yêu cầu và cơ chế xử lí AJAX gửi đến máy chủ một yêu cầu y hệt. Máy chủ không
có khả năng nhận thức rõ ràng rằng yêu cầu là một JavaScipt và sẽ trở nên rất khó để xác định
xem chúng có phải là một hành vi đúng đắn hay không.
Điều này cũng có nghĩa là JavaScript có thể thực hiện các yêu cầu cho tài nguyên sử dụng AJAX
mà người dùng không nhận thức được. Trình duyệt sẽ tự động thêm những xác thực cần thiết
hoặc giữ trạng thái của thông tin như cookie. Mã JavaScript có thể truy xuất đến đáp ứng của yêu
cầu ẩn này và sau đó gửi đi nhiều yêu cầu hơn. Chính sự mở rộng này làm tăng khả năng bị tấn
công XSS.

Với AJAX, XSS có thể tạo nên các yêu cầu nguy hiểm đối với người dùng mà không cần tải lại
trang Web. Những Script độc hại có thể bí mật đọc nội dung của trang Web mà người dùng đang
xem. Sử dụng AJAX, một tấn công XSS có thể gửi nhiều yêu cầu cho những trang đặc biệt bên
cạnh những trang mà người dùng đang xem.
Với ứng dụng Web truyền thống, việc tiêm và phát tán XSS được thực hiện bởi một kẻ tấn công
thường là trên một phần duy nhất của Website. Với ứng dụng AJAX, XSS có thể được phát tán
như một virus. XSS có thể sử dụng yêu cầu AJAX để tự tiêm bản thân nó vào trong trang và dễ
dàng tiêm lại vào các máy (host) khác với nhiều XSS hơn vì không cần phải tải lại. XSS có thể
gửi nhiều yêu cầu sử dụng những phương thức HTTP phức tạp để truyền đến người dùng một
cách vô hình.
Vào tháng 10 năm 2005, một thành viên của mạng xã hội MySpace.com đã tạo một hồ sơ
(profile) cá nhân có chứa một loại sâu tự động phát tán, sâu Samy, đánh dấu trường hợp tấn công
đầu tiên lợi dụng XSS trong AJAX. Khi profile được xem bởi người khác, đoạn mã tự động thêm
người này vào danh sách “bạn bè” của Samy đồng thời được sao chép đến profile của nạn nhân.
Tháng 6 năm 2006, sâu Yamanner ảnh hưởng đến người dùng dịch vụ web mail của Yahoo (một
dịch vụ webmail được dùng rất phổ biến). Sâu này sử dụng XSS và AJAX, khi một email bị
nhiễm độc được mở, đoạn mã viết bằng JavaScript sẽ được thực hiện và gửi một bản sao của
chính nó đến tất cả các địa chỉ trong sổ địa chỉ của nạn nhân.
Cầu nối AJAX (AJAX Bridging)
Vì mục đích bảo mật, ứng dụng AJAX chỉ có thể kết nối ngược lại với website kết nối đến nó. Ví
dụ, JavaScript với AJAX được tải về từ yahoo.com không thể tạo kết nối đến google.com. Để
cho phép AJAX liên hệ với site của bên thứ ba, một dịch vụ cầu nối AJAX được thiết lập. Trong
một cầu, một host cung cấp một dịch vụ web đóng vai trò như một trung gian (proxy) để chuyển
tiếp lưu lượng giữa JavaScript đang chạy trên máy khách và site của bên thứ ba. Một cầu có thể
được xem như là một kết nối “Dịch vụ web đến dịch vụ web”. Rất nhiều kiểu khung web như là
Microsoft Atlas, cung cấp hỗ trợ cho cầu AJAX. Các giải pháp khác như PHP hay chương trình
CGI cũng cung cấp cầu AJAX.
Một cầu AJAX có thể kết nối bất cứ dịch vụ web nào trên bất cứ host nào sử dụng giao thức như
là SOAP (Simple Object Access Protocol) hay REST (Representational State
Transfer). Cầu cũng có thể kết nối đến các đối tượng khác như RSS, HTML, Flash.

Vấn đề bảo mật của cầu nối
Cầu nối trong AJAX làm phát sinh một số vấn đề bảo mật. Ví dụ một ứng dụng AJAX cho phép
lưu trữ sách online gọi là spibooks.com muốn truy cập đến một vài dịch vụ Web mà
majorbookstore.com cung cấp như là tìm tên tác giả. Để làm điều này, spibooks.com gửi mã
JavaScript qua cầu nối AJAX đến majorbookstore.com. Mặc dù bất cứ người nào cũng có thể
đăng ký một tài khoản miễn phí (free account) để truy cập vào dịch vụ Web của
majorbookstore.com, nhưng các tài khoản này có quyền rất giới hạn và được thiết lập khá chậm.
Trong khi một sự thỏa thuận giữa hai công ty cho phép spibooks.com có thể truy cập đến
majorbookstore.com ít bị hạn chế hơn.
Trong trường hợp này, một kẻ tấn công muốn copy toàn bộ cơ sở dữ liệu về các tác giả từ
majorbookstore.com có thể thực hiện bằng cách phát ra hàng ngàn truy vấn đến cầu nối AJAX
đang chạy trên spibooks.com. Do số lượng yêu cầu lớn, majorbookstore.com có thể thực hiện lưu
cache các yêu cầu này để làm giảm băng thông mạng. Mối quan hệ giữa hai Website cho phép kẻ
tấn công thu thập được nhiều thông tin hơn là dùng một tài khoản miễn phí trên trang
majorbookstore.com.
Kẻ tấn công có thể gửi một yêu cầu nguy hiểm từ spibooks.com đến majorbookstore.com. Tuy
nhiên các giao dịch bình thường có thể bị ngăn cản nếu một hệ thống chống xâm nhập (IPS) tại
majorbookstore.com phát hiện ra yêu cầu nguy hiểm đến từ địa chỉ IP của spibooks.com và sau
đó tự động block tất cả yêu cầu đến từ site này. Trong trường hợp này, thay vì thực hiện các tấn
công XSS đến majorbookstore.com, kẻ tấn công coi như đã thực hiện tấn công từ chối dịch vụ
(DoS) chống lại người dùng của spibooks.com!
Cũng có khả năng majorbookstore.com không phát hiện được tấn công qua cầu AJAX vì nó
không kiểm tra kỹ yêu cầu nó nhận được từ spibooks.com như khi nó nhận được các yêu cầu từ
các nguồn khác do đã có thỏa thuận từ trước.
Các khuyến cáo được đưa ra khi xây dựng một ứng dụng Ajax là gì?
Khi có ý định thay đổi các ứng dụng doanh nghiệp sang nền ứng dụng Web, cần chú ý đến
những câu hỏi sau:
• Có nên chuyển đổi các ứng dụng thông thường sang ứng dụng Web?
• Có nên chuyển đổi các ứng dụng Web truyền thống sang ứng dụng AJAX?
• Điều gì sẽ được cải tiến khi thực hiện chuyển đổi?

Nếu quyết định phát triển ứng dụng Web, truyền thống hoặc AJAX, nên chú ý đến những khuyến
cáo sau:
• Loại input nào được cho phép bởi ứng dụng
• Đảm bảo rằng tất cả các input được kiểm tra trước khi thực hiện các tiến trình
• Sử dụng phương pháp “white list” hiệu quả hơn là “black list” trong kiểm tra. “white list”
bao gồm việc đồng ý cho các dữ liệu đã biết là tốt trong khi “black list” sử dụng một
danh sách dữ liệu không đươc phép.
• Bổ sung giao thức SSL cho ứng dụng Web
• Nếu là ứng dụng AJAX, giảm thiểu các chương trình logic bị phơi bày
Kết luận
Ứng dụng Web ngày nay chiếm một phần rất quan trọng trong việc trao đổi thông tin trên mạng.
Việc cải tiến các ứng dụng web truyền thống sang các ứng dụng AJAX làm cho nó nhanh hơn,
tiện dụng hơn, dễ dàng tương tác hơn cũng kéo theo hệ quả là tăng nguy cơ mất an ninh của ứng
dụng. Quá trình thực thi Script và thông tin trao đổi trên yêu cầu server/client tăng đem lại cơ hội
lớn hơn cho kẻ tấn công phá hoại hoặc ăn cắp dữ liệu. Một giải pháp tốt cho vấn đề này là sử
dụng các công cụ dò quét, rà soát lỗ hổng của ứng dụng web. Từ đó, khắc phục các điểm yếu an
ninh tồn tại trên ứng dụng.
Nguyễn Anh Đức
10 điều các chuyên gia CNTT cần biết về Ajax
Bất kỳ một công nghệ Web mới nào cũng sẽ đều ảnh hưởng tới một cơ sở hạ tầng của mạng theo nhiều
góc độ khác nhau từ những việc không quan trọng đến làm choáng váng cả thế giới. Ajax là một trong
các công nghệ mới đang được sử dụng nhiều trên các mạng ngày nay. Để giúp các bạn có thể tối thiểu
hóa những ngạc nhiên về mạng của mình, chúng tôi phác thảo ra 10 vấn đề cần biết về Ajax.
1) Ajax là một ý tưởng, không phải là cụm từ
Ajax tuy đã được giải thích rõ ràng là viết tắt của cụm từ Asynchronous JavaScript and XML nhưng tên
đầy đủ này vẫn không hoàn toàn thích hợp vì nó đơn giản hóa quá mức lịch sử của công nghệ cũng như
những tùy chọn bổ sung nằm trong chính bản thân nó. Chính xác hơn, Ajax bao gồm ý tưởng trong đó
các ứng dụng web có thể được xây dựng để chọn trong số vòng lặp “post-wait-repeat” được sử dụng
trong các ứng dụng Web trình chủ. Ajax cho phép các ứng dụng web chuyển một cách liên tục và mềm
dẻo hơn, nhưng việc update lại tăng lên. Nó cung cấp cho người dùng một phương pháp phong phú và

khả năng tương tác tốt hơn với những gì nằm bên dưới ứng dụng Web. Để được thành phần này thì các
chuyên gia về mạng càng phải thực hiện nhiều công việc trong kiểm tra và giám sát bảo mật cần thiết
cũng như khả năng tiềm ẩn sự biến đổi của mạng và máy chủ.

2) Thực sự tất cả theo JavaScript
Các ứng dụng Ajax được viết theo ngôn ngữ JavaScript và thường dựa vào đối tượng XMLHttpRequest
để thực hiện việc truyền thông, cách làm này sẽ tạo ra đường đi của nó thông qua việc xử lý World Wide
Web. Cũng giống như các công nghệ Web khác, công nghệ Ajax lúc này cũng chỉ là một chuẩn công
nghệ đặc biệt, những điểm khác nhau nổi bật có thể phát hiện thấy trong các bổ sung vào các trình duyệt
khác nhau của nó. Ajax có thể sử dụng các cơ chế truyền tải dữ liệu khác – có hoặc không có sự hỗ trợ
rộng rãi trong CNTT – với các ứng dụng Ajax, như frame truyền thống và các phương pháp image-cookie
cũng như sử dụng các cầu binary để liên kết với Flash hoặc Java.

Không quan tâm đến phương pháp truyền tải được sử dụng bởi các chuyên gia phát triển, Ajax đã làm
cho JavaScript trở nên quan trọng hơn bên trong một ứng dụng web so với những gì nó làm được trước
đây. JavaScript lúc này hiện nắm giữ vai trò sưu tập các dữ liệu quan trọng, truyền thông và hoạt động,
chính vì vậy nó có thể được coi như một công nghệ web lớp thứ hai không có các tác động nghiêm trọng.

Các chuyên gia phát triển phần mềm cho rằng công nghệ JavaScript mang tính độc và muốn né tránh
ngôn ngữ này bằng một công cụ hoặc framework tạo nó từ một ngôn ngữ khác như Java (Google Web
Toolkit là một ví dụ), hoặc dấu các thành phần code ẩn hoặc các tag (như với .Net hoặc Ruby). Mặc dù
vậy JavaScript vẫn là một ứng dụng. Việc tìm hiểu ứng ngôn ngữ này và nắm được nó một cách trực tiếp
sẽ giúp bạn rất nhiều vì nếu muốn sử dụng Ajax thì bạn sẽ sử dụng đến rất nhiều JavaScript.

3) Không cần đến XML
Mặc dù có chữ “X” trong nhóm từ của Ajax nhưng thực sự nó không cần đến XML. Đối tượng
XMLHttpRequest có thể truyền tải bất kỳ một định dạng văn bản nào. Với nhiều chuyên gia phát triển
phần mềm Ajax, ký hiệu đối tượng JavaScript (JavaScript Object Notation) hoặc thậm chí các đoạn mã
JavaScript thô cũng tạo ra nhiều ý nghĩa như một định dạng dữ liệu, cho rằng JavaScript là môi trường
chi phối. Với đầu vào trực tiếp trong các tài liệu, các chuyên gia phát triển phần mềm khác có thể sử

dụng văn bản thô hoặc các đoạn HTML. Vẫn còn một số thành phần khác sử dụng các định dạng dữ liệu
như vậy như ngôn ngữ markup YAML ít được biết đến.

Rõ ràng hoàn toàn có thể và hợp lý để sử dụng XML, nhưng Ajax vẫn không yêu cầu bắt buộc. Sử dụng
các định dạng nhị phân cho việc upload các file vẫn không được hỗ trợ bởi đối tượng XMLHttpRequest,
nhưng nên cần biết rằng Flash sử dụng một định dạng nhị phân được gọi là Action Message Format,
chính vì vậy các tính năng tương tự như vậy sẽ một sớm một chiều có trong các ứng dụng của Ajax. Bạn
nên biết định dạng nào đang được sử dụng trên mạng vì nó không phải lúc nào cũng là XML, và cũng
bảo đảm bạn có thể phân tích định dạng cho vấn đề hiệu suất và bảo mật.

4) Kế hoạch cho việc tăng các request HTTP
Vấn đề nổi cộm nhất đối với các quản trị mạng trong việc hỗ trợ các ứng dụng Ajax là mẫu lập trình kiến
trúc đã thay đổi vấn đề sử dụng mạng của các ứng dụng web từ việc như xử lý khối, sự phản ứng không
liên tục với hàng trăm KB đến sự thay đổi mang tính liên tục trong các đáp trả HTTP nhỏ hơn. Điều này
có nghĩa rằng Web và các máy chủ ứng dụng có thể bận rộn hơn trước rất nhiều. Những gì Ajax sẽ thực
hiện với mạng và máy chủ của bạn phụ thuộc vào cách ứng dụng được thiết kế như thế nào, hãy bảo
đảm cho các chuyên gia phát triển ứng dụng hiểu được sự ảnh hưởng của các ứng dụng của họ với
mạng như thế nào.

5) Tối ưu hóa các yêu cầu Ajax một cách thận trọng
Các ứng dụng web nên gắn với trong việc phân phối mạng đó là gửi ít dữ liệu. Tuy vậy điều này không có
nghĩa rằng nguyên lý này cần phải tuân theo một cách rộng rãi bởi các chuyên gia phát triển phần mềm.
Một ưu điểm cho mạng, việc nén HTTP cho các đáp trả của Ajax có thể giảm được kích thước và được
hỗ trợ trong nhiều trình duyệt hiện đại. Tuy vậy vì overhead của file nén mang tính động nên tốc độ có thể
không được cải thiện nhiều nếu các đáp trả tương đối nhỏ. Điều này có nghĩa rằng các quản trị viên
mạng nên cho phép nén trên máy chủ Web, nhưng họ cần phải hiểu được rằng với các ứng dụng Ajax thì
hiệu suất của việc này không lớn bằng các ứng dụng web trước kia.

Để gửi dữ liệu ít đi, chúng ta thường sẽ sử dụng đến vấn đề caching. Tuy vậy hầu hết các bổ sung của
Ajax đều có thể là thù địch của caching với một giả định là các trình duyệt mà không liên quan đến các

re-fetching URL trong cùng một session. Thay cho làm việc với caching thì nhiều chuyên gia phát triển
Ajax lại thủ tiêu caching thông qua thiết lập header hoặc URL đơn nhất.

Hoàn toàn có thể nhắm đến các vấn đề caching với Ajax cache ở trình khách được viết bằng JavaScript,
nhưng hầu hết các thư viện của Ajax lại không bổ sung tính năng như vậy. Các chuyên gia về mạng nên
giới thiệu cho các nhà phát triển về lợi ích của caching vì Ajax có thể sẽ mang lại nhiều lợi ích từ vấn đề
này hơn nén.

6) Thừa nhận về sự hạn chế two-connection
Các ứng dụng Ajax bị hạn chế bởi HTTP đối với hai kết nối đồng thời với cùng một URL. Đây chính là
cách giao thức HTTP được thiết kế, không bị hạn chế. Tuy nhiên có nhiều chuyên gia phát triển phần
mềm Ajax vẫn xa lầy vào một máy chủ một cách tình cờ dẫu cho Internet Explorer 8 của Microsoft được
hỗ trợ để thực hiện vượt ra khỏi các hạn chế này. Một số ứng dụng không hay của Ajax có thể có vấn đề
và với các trình duyệt đang thay đổi, các quản trị mạng cần phải nắm bắt được số lượng các yêu cầu tạo
ra và làm việc với các chuyên gia phát triển ứng dụng để tránh sử dụng các mẫu thiết kế như poll hoặc
các kết nối trợ giúp dài.

7) Xem xét đến thứ tự xử lý
Với các ứng dụng web truyền thống, sự ảnh hưởng truyền thông TCP/IP (như việc thiếu thứ tự đáp trả
HTTP nào sẽ được nhận) nhìn chung không được chú ý. Tài liệu HTML được nhận trước các đối tượng
khác và sau đó nó sẽ kích hoạt yêu cầu. Bất kỳ một yêu cầu xảy ra sau đều kích hoạt một tài liệu mới
hoàn toàn, do đó vẫn bảo đảm được thứ tự. Tuy nhiên Ajax lại không hề sử dụng đến việc phân định thứ
tự như vậy chính vì vậy sự phụ thuộc của một ứng dụng theo đúng thứ tự cần đến một hàng đợi xử lý.
Ajax framework cũng không nhất quán thừa nhận mối quan tâm này. Chính vì vậy cần phải bảo đảm cho
các chuyên gia phát triển ứng dụng Ajax hiểu được vấn đề này.

8) Thừa nhận sự ảnh hưởng của việc loại trừ sửa lỗi "Layer 8"
Một vài năm trở lại đây, người dùng đã khắc phục chất lượng trong việc phân phối Web bằng cách
reloading các trang hoặc nhất nút Back. Đơn giản, người dùng thực hiện như vậy để giúp giảm các vấn
đề về mạng vì lỗi thường xuất hiện tại các thời điểm giữa các page paint. Tuy vậy với Ajax, lỗi ứng dụng

lại không hiển nhiên như vậy. Người dùng thường bị báo sai về các lỗi vì vòng quay GIF động cung cấp
quá ít thông tin về trạng thái đúng của yêu cầu.

Các chuyên gia phát triển phần mềm là những người thiệt nhiều nhất vì nhiều thư viện không có hiệu quả
trong việc thừa nhận các timeouts đó xảy ra, những lần retry phải xuất hiện, máy chủ và các lỗi dữ liệu
ngày càng nhiều. Các chuẩn đoán JavaScript hiển thị việc truyền thông và các lỗi mã ít khi đúng trên phía
trình khách, chính vì vậy mà người dùng thường không hay biết. Do đó cần phải có nhiều kiểm tra mức
ứng dụng được yêu cầu cho các quản trị viên để hỗ trợ Ajax một cách hợp lý.

9) Những mối đe dọa về bảo mật cũ lại xuất hiện lần thứ hai
Nếu bạn lắng nghe các chuyên gia, thì Ajax có thể gây tăng thêm bề mặt tấn công nhưng quả thực nó
không kém an toàn hơn các môi trường phát triển ứng dụng web truyền thống nào vì các đầu vào HTTP
đến trình chủ tin cậy đều có cùng các header, chuỗi truy vấn và body văn bản. Tuy nhiên nếu mã trình
khách được tin tưởng hoàn toàn và nhập vào dữ liệu không được ngăn chặn trong nhóm phát triển web
thì Ajax có thể gây ra những vấn đề về bảo mật tương tự như các ứng dụng web truyền thống.

Cross-site scripting (XSS) không phải là lỗ hổng mới trong Ajax; nó là một lỗi chung, đặc biệt nếu một
ứng dụng nào đó cho phép dữ liệu trạng thái được điều chỉnh với JavaScript. Đầu vào HTML cần được
không cho phép trong hầu hết các trường hợp và HTTP Only Cookies nên được áp dụng ngay lập tức để
giảm việc tấn công cookie và các tấn công khác thông qua XSS.

Cũng vậy Cross Site Request Forgery cũng không phải là một lỗi mới của Ajax, nhưng nếu các chuyên
gia phát triển ứng dụng của bạn không kiểm tra HTTP Referer (sic) header và quản lý session đúng cách
bên trong các ứng dụng Ajax thì có thể để hổng vấn đề này.

Các Hacker, cũng giống như các chuyên gia phát triển phần mềm hiện đang rất quan tâm đến việc sử
dụng và lạm dụng JavaScript, điều đó càng làm tăng thêm các lỗ hổng tiềm tàng. Các chuyên gia về
mạng nên bảo đảm cho chuyên gia phần mềm biết được rằng mã trình khách có thể bị thay đổi, vì vậy
các dữ liệu đầu vào luôn cần được lọc và xem xét.


10) Vấn đề về chính sách cùng gốc
Một mặt “positive” (mang tính ưu điểm) về bảo mật, các chính sách cùng gốc của JavaScript sẽ vẫn có
hiệu lực trong ứng dụng Ajax sử dụng XMLHttpRequest. Chính sách này bảo đảm cho các kịch bản đó
không liên kết với các miền bên ngoài. Từ quan điểm của các chuyên gia phát triển phần mềm, điều này
có thể khá bực mình vì nó có nghĩa rằng các trang đó được đáp ứng, ví dụ là từ ajaxref.com lại không thể
liên kết với URL được host trên www.ajaxref.com; thậm chí nếu nó nằm trên cùng một máy chủ thì cũng
không cùng chính xác miền. DNS tương đương không có vấn đề ở đây; nó là một string-check được sử
dụng bởi SOP.

SOP sẽ làm vướng khả năng của các chuyên gia phát triển trong việc thực hiện một số cố gắng cho dịch
vụ Web trên phía trình khách. Rõ ràng phương pháp tốt nhất là sử dụng proxy trên máy chủ để đưa ra
các yêu cầu đến máy chủ khác và kết hợp các kết quả. Tuy vậy, nhiều chuyên gia phát triển phần mềm
Ajax lại cố gắng ngắt các hạn chế cùng gốc.
Theo: quantrimang.com