Fondamentalmente, non ci sono novità nei problemi di sicurezza posti dall'Asynchronous JavaScript and XML (AJAX), si tratta solo di applicare qualche vecchio buon principio di sicurezza a questa nuova tecnologia.
I problemi si verificano perchè, sfortunatamente, c'è un'enorme quantità di dettagli nascosti ed eccezioni correlate.
Una delle maggiori sfide delle applicazioni AJAX è lo spostamento del codice dal server al client, ciò implica l'utilizzo di numerosi formati, protocolli, parsers e interpreti. Tra questi troviamo JavaScript, VBScript, Flash, JSON, XML, REST, XmlHttpRequest, XSLT, CSS e HTML, oltre a tutte le tecnologie utilizzate lato server. Se ciò non bastasse, ogni framework AJAX utilizza dei propri formati e implementazioni per dati e funzioni.
Il numero di "lati esposti" di un'applicazione è una buona approssimazione delle modalità con cui un attacco può danneggiare l'applicazione o i suoi utenti. Più tecnologie vengono impegnate, più sono i lati esposti all'attacco.
Ecco, allora, tre semplici modi per ridurre in un'applicazione questi lati esposti all'attacco:
Sapere cosa viene eseguito dove
Mantenere i dati separati dal codice
Attenta codifica di dati e parametri