Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[iugin]

Buna

Poate e o tampenie, poate e chiar banal dar chiar am nevoie de asta si de 2 zile tot sap.

Ehh, am un script AJAX care primeste un XML de la un php si in fctie de ce primeste tiparesc ceva pe ecran. Normal ar zice toata lumea.

Problema mea acuma. Vreau ca acel script sa raspunda doar daca e cerut din "AJAX", nu vreau sa pot introduce la link scriptul blablabla.php?id1=2&id2=3 si sa raspunda

E cam aiurea stiu dar trebe securatiatea asta.

[aurelian]

o tactica ar fi sa trimiti din java script un header cu o anumita valoare, pe care sa o verifici apoi pe partea de server.
de ex, dupa ce ai un obiect request in java script:
Cod:
request.setRequestHeader('__NUME_HEADER__', '__VALOARE_HEADER__');

[iugin]

Mersi pt promptitudine.

Nu stiu daca solutia ta e chiar asa buna, caci si daca pun un cod acolo e in sursa javascript care e vizibila.

Deocamdata am blocat afisarea javascriptului care face cererile si parserul de XML. Inca mai vreau sa perfectionez partea asta, apoi vad ce fac cu codul care mi l-ai dat tu

[aurelian]

iugin a scris:
Nu stiu daca solutia ta e chiar asa buna, caci si daca pun un cod acolo e in sursa javascript care e vizibila.

Clar nu este cea mai buna solutie, dar probabil poate acoperi cam 10-20% din cazuri.

[carco]

Ideea e ca serverul nu poate stii daca tu ai copiat din cod requestul si l-ai dat in adresa sau l-ai trimis din cod... Orice header/referer/[ce o mai fi] poate fi falsificat.

[iugin]

Hai ca am reusit ceva pana la urma:

Am blocat afisarea sciptul js in cazurile nedorite. Am declarat in .htaccess scripturile .js ca fiind php(forcetype) si apoi am spus sa le afiseze doar daca variabilele SERVER_NAME si HTTP_REFFERER sun la fel( REFFERE normal, prelucrat un pic)

Si se pare ca chiar merge.

[aurelian]

Fara o legatura directa cu subiectul deschis de tine,
am gasit doua articole interesante ce trateaza problemele de securitate cand se foloseste AJAX:
http://www.mercurytide.com/knowledge/white-papers/issues-working-with-ajax
si
http://www.xml.com/pub/a/2005/11/09/fixing-ajax-xmlhttprequest-considered-harmful.html

Mercurytide a scris:
If your page is hosted on http://example.org/ you can only make requests to that server — you couldn’t, for example, make a request to http://maps.google.com/.


p.s. in Oradea este cumva paradisul AJAX din Romania?

[iugin]

aurelian a scris:
p.s. in Oradea este cumva paradisul AJAX din Romania?


Sincer eu nu tin legatura cu comunitatea locala de programatori :)

Parerea mea. Toti ar trebui sa folosim AJAX. E chiar util eu zic din 2 motive mari.

1. Codul scris scade la un sfert
2. Banda folosita

Eu am cateva siteuri si a trebui sa ma tot mut sa nu platesc depasirile. Am gasit 1T trafic pe luna la 8$, si merge bine. Da stiu ca e interzis sa rescriem tot in AJAX. Interzis ca mai tra sa dam si motoarelor de cautare de mancare si trebuie sa facem pagini speciale pt ele(din pacate), si mai nou sint tot mai multi spideri care citesc, deci mai mult trafic

[black diamond]

iugin a scris: si mai nou sint tot mai multi spideri care citesc, deci mai mult trafic
Poti sa-i blochezi pe cei nedoriti cu robots.txt

[iugin]

:)

Si daca itzi spun ca in fiecare luna apar noi si ni spideri ce faci??!?!? Stai toata ziua si vezi care e trafic normal si care nu?


Dar asta e o alta discutie nu de AJAX :)

[ExcalIbvr]

Nu vreau sa dezgrop subiecte rezolvate, dar parca discutia a ramas in aer, un pic.
Solutia oferita de aurelian este foarte buna: trimiti inca un header in request. Daca folosesti prototype, acesta trimite automat header-ul HTTP_X_REQUESTED_WITH cu valoarea XMLHttpRequest. Verifici daca request-ul e AJAX si actionezi in consecinta.

Nu cred ca e nevoie sa interzici accesul la .js-uri. Pentru ce? Ai acolo ceva ce nimeni nu mai stie sa faca? Sau doar sa-ti protejezi script-ul PHP apelat? Daca doar pentru asta, atunci metoda cu extra header e suficienta.

IMHO.

[PHPRomania Bot]