AJAX - bezpieczeństwo, ataki XSS Opcje

[Skie]

Witam,
Ostatnio znalazłem na swojej stronie dużą lukę jeśli chodzi o zabezpieczenia. Wszystkie hiperłącza na stronie są wykonywane przy pomocy AJAXa i tutaj zrodził się problem - w jaki sposób zabezpieczyć się przed atakami XSS próbującymi zamęczyć serwer?
Jak się bronić przed takim czymś, gdy np. user wpisze w pasku adresu strony kod JS, który będzie wykonywał w pętli requesty do strony? Taka pętla, wykonywana np. 1 mln razy może bardzo mocno spowolnić serwer, albo nawet go zaciąć na jakiś czas.

[Skie]

No, może omylnie wprowadziłem to pojęcie XSS, ale nie wiedziałem jak inaczej to nazwać :-)

Mam problem z przewidywaniami takich danych, ponieważ większość serwisu jest rzadko odświażanych (no tak jak na zwyczajnych stronach) ale niektóre podstrony mogą być odświeżane nawet co 1 sek. (jeśli user będzie chciał coś często robić). Zastanawiałem się znowu nad zrobieniem czegoś takiego co ograniczy ilość możliwych zapytań dla jednego usera np. co 1 sek, ale znowu jest problemy, gdyz kazdy link AJAXowy wykonuje u mnie na stronie 2 requesty (1 plik z podstroną którą się ładuje i 1 plik z listą userów online).

Jakieś propozycje?

Czy naprawdę nikt nie ma pojęcia jak takie coś zrobić? Nikt się nie borykał z takim problemem?

Ten post edytował Skie 27.11.2008, 15:45:53