使用JQuery / Bootstrap / Ajax / ColdFusion 16登录页面？

Posted 2021-05-05

我正在从单独/新系统中的旧系统迁移其中一个应用程序。我的单页应用程序在前端使用JQuery / html5 / CSS / AJAX，在后端使用ColdFusion。在开始开发我的新框架和登录页面之前，我希望能够为此目的提供一些有关安全性和最佳实践的有用提示。我看过Raymond Camden的博客文章，他解释了如何在JQuery / AJAX和ColdFusion中完成Login页面。链接：https://www.raymondcamden.com/2009/03/24/Simple-example-of-a-Form-post-to-ColdFusion-with-jQuery-Login/][1]

他解释了这个过程，但我想知道下几件事。我的主要登录页面应该使用.html文件或.cfm文件登录页面吗？从提交中通过Ajax登录过程是否存在安全风险？我没有创建登录系统的经验，任何帮助将不胜感激。如果有人能提供一些有用的博客或代码示例，请在此过程中提供帮助，请告知我们。

答案

我希望将此作为评论来写，但这个问题需要很长的答案，并且可以通过许多不同的方式来解决。请带上一粒盐。

通常，我发现的是处理任何用户输入时的最佳实践，尤其是在特定数据库中捕获输入时，具体如下：

• 客户端验证（可以使用javascript或HTML5必需属性完成，如果正确完成可以提高登录表单的安全性并防止跨站点脚本攻击）
• 服务器端验证（可以使用ColdFusion完成）
• 对您决定使用的数据库使用预准备语句（这非常重要）。这可以使用ColdFusions <cfquery></cfquery>标记来完成，并确保为其中一个属性添加参数。文档在这里：

https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-tags/tags-p-q/cfqueryparam.html

至于文件，它是主观的，因为你可以让你的客户端验证让我们说你的登录页面，如果他们通过客户端验证，它将被重定向到将执行服务器验证的.cfm文件。或者，您可以在单个文件上同时进行客户端和服务器端验证，在这种情况下，文件需要为.cfm

至于你关于ajax表单提交的问题。是的，它们是安全风险，在您编写服务器端验证的方式中起着重要作用

当您对数据库执行检查时。最重要的是确保清理查询输入，无论是对用户进行身份验证，添加，更新还是从数据库中删除。

另一答案

为什么不使用API​​管理器为您执行此操作？ （CF2016企业免费提供）

否则，查找OWASP函数并形成文档的安全性部分。