AJAX - bezpieczeństwo, ataki XSS Opcje

[Skie]

Witam,
Ostatnio znalazłem na swojej stronie dużą lukę jeśli chodzi o zabezpieczenia. Wszystkie hiperłącza na stronie są wykonywane przy pomocy AJAXa i tutaj zrodził się problem - w jaki sposób zabezpieczyć się przed atakami XSS próbującymi zamęczyć serwer?
Jak się bronić przed takim czymś, gdy np. user wpisze w pasku adresu strony kod JS, który będzie wykonywał w pętli requesty do strony? Taka pętla, wykonywana np. 1 mln razy może bardzo mocno spowolnić serwer, albo nawet go zaciąć na jakiś czas.

[bełdzio]

atakami XSS próbującymi zamęczyć serwer?

xss skierowany jest w usera a nie w serwer to 1.
2. nie do konca wiem o co chodzi:-)
3. jak sie bronic przed XSS ? filtrowac wszystko co przychodzi

[nexis]

Chyba omylnie wprowadziłeś pojęcie XSS. Jeśli chodzi o obronę przed atakami, o których wspomniałeś, to wystarczy zablokować odpowiedzi serwera dla IP, które nienaturalnie często odwołują się do naszego serwisu. Jeśli zbudowałeś serwis na AJAX, to wiesz jak często klient może pytać serwer o dane, a nadwyżki powinieneś rozpatrzeć indywidualnie (na przykład wysyłając nagłówek 501)!

[Skie]

No, może omylnie wprowadziłem to pojęcie XSS, ale nie wiedziałem jak inaczej to nazwać :-)

Mam problem z przewidywaniami takich danych, ponieważ większość serwisu jest rzadko odświażanych (no tak jak na zwyczajnych stronach) ale niektóre podstrony mogą być odświeżane nawet co 1 sek. (jeśli user będzie chciał coś często robić). Zastanawiałem się znowu nad zrobieniem czegoś takiego co ograniczy ilość możliwych zapytań dla jednego usera np. co 1 sek, ale znowu jest problemy, gdyz kazdy link AJAXowy wykonuje u mnie na stronie 2 requesty (1 plik z podstroną którą się ładuje i 1 plik z listą userów online).

Jakieś propozycje?

Czy naprawdę nikt nie ma pojęcia jak takie coś zrobić? Nikt się nie borykał z takim problemem?

Ten post edytował Skie 27.11.2008, 15:45:53