Limitare script

[iugin]

Buna

Poate e o tampenie, poate e chiar banal dar chiar am nevoie de asta si de 2 zile tot sap.

Ehh, am un script AJAX care primeste un XML de la un php si in fctie de ce primeste tiparesc ceva pe ecran. Normal ar zice toata lumea.

Problema mea acuma. Vreau ca acel script sa raspunda doar daca e cerut din "AJAX", nu vreau sa pot introduce la link scriptul blablabla.php?id1=2&id2=3 si sa raspunda

E cam aiurea stiu dar trebe securatiatea asta.

[aurelian]

[iugin]

Mersi pt promptitudine.

Nu stiu daca solutia ta e chiar asa buna, caci si daca pun un cod acolo e in sursa javascript care e vizibila.

Deocamdata am blocat afisarea javascriptului care face cererile si parserul de XML. Inca mai vreau sa perfectionez partea asta, apoi vad ce fac cu codul care mi l-ai dat tu

[aurelian]

[carco]

Ideea e ca serverul nu poate stii daca tu ai copiat din cod requestul si l-ai dat in adresa sau l-ai trimis din cod... Orice header/referer/[ce o mai fi] poate fi falsificat.

[iugin]

[aurelian]

[iugin]

[black diamond]

[iugin]

Si daca itzi spun ca in fiecare luna apar noi si ni spideri ce faci??!?!? Stai toata ziua si vezi care e trafic normal si care nu?


Dar asta e o alta discutie nu de AJAX

[ExcalIbvr]

Nu vreau sa dezgrop subiecte rezolvate, dar parca discutia a ramas in aer, un pic.
Solutia oferita de aurelian este foarte buna: trimiti inca un header in request. Daca folosesti prototype, acesta trimite automat header-ul HTTP_X_REQUESTED_WITH cu valoarea XMLHttpRequest. Verifici daca request-ul e AJAX si actionezi in consecinta.

Nu cred ca e nevoie sa interzici accesul la .js-uri. Pentru ce? Ai acolo ceva ce nimeni nu mai stie sa faca? Sau doar sa-ti protejezi script-ul PHP apelat? Daca doar pentru asta, atunci metoda cu extra header e suficienta.

IMHO.