-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!.POSTED!not-for-mail
From: Tomek Kańka <t...@t...eu.org>
Newsgroups: pl.comp.www
Subject: Re: Ajax - kwestie bezpieczeństwa
Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
Organization: ATMAN - ATM S.A.
Lines: 50
Message-ID: <s...@t...dom.local>
References: <kancal$fhc$1@node2.news.atman.pl> <s...@t...dom.local>
<kaqq5q$okr$1@node2.news.atman.pl> <kaqq8c$okr$2@node2.news.atman.pl>
<s...@t...dom.local> <kas7r3$32s$1@node2.news.atman.pl>
<s...@t...dom.local> <katfgl$uo8$1@node1.news.atman.pl>
NNTP-Posting-Host: host-80-238-125-99.jmdi.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1356020674 6246 80.238.125.99 (20 Dec 2012 16:24:34 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
User-Agent: slrn/0.9.9p1 (Linux)
Xref: news-archive.icm.edu.pl pl.comp.www:401690
[ ukryj nagłówki ]Marek <p...@s...com> napisał(a)
> W dniu 2012-12-19 21:51, Tomek Kańka pisze:
>
>> Dlaczego Twoje ajaxowe requesty odbywają się poza sesją i jak udało Ci
>> się ro osiągnąć?
>
> Nie odbywają się poza sesją. Tego nie napisałem. Może bardziej
> konkretnie, Jest sobie w PHP moduł A, który wyświetla rekordy z jakiejś
> tabeli. Gdy wybierzemy jakiś rekord do edycji, to przeładowujemy
> formularz, dane trafiają do modułu A, który waliduje nasze żądanie i
> jeśli wszystko jest ok, to ustawia w sesji kontekst i przekierowuje na
> inny URL. Tam moduł B odbiera kontekst i wyświetla inny formularz, w
> którym możemy edytować kliknięty rekord.
>
> Takie rozwiązanie daje nam bezpieczeństwo w takiej postaci, że
> bezpośrednie wejście na ten "inny URL", gdzie pracuje moduł B, i
> przesyłanie czegokolwiek GETem lub POSTem, nie będzie w stanie uruchomić
> edycji jakiegokolwiek rekordu bo moduł B nie nasłuchuje tych zmiennych
> wcale. On czego na zmienne sesyjne.
>
> Teraz wkracza Ajax. Jesteśmy na pierwszym URL z listą rekordów. Klikamy
> jakiś do edycji no i Ajax musiałby w tym momencie wyświetlić od razu
> edytor - no bo po to jest Ajax aby strona się nie przeładowywała.
> Nie ma etapu komunikacji za pomocą sesji.
Może wynika to z tego, że nie znam PHP i w związku z tym nie rozumiem
Twojego mechanizmu, ale...
co to znaczy "nie ma etapu komunikacji za pomocą sesji"?
Przecież (już stosując niskopoziomowy żargon) te ajaxowe requesty
zawierają te same cookie i należą do tej samej sesji. Dlaczego ich nie
wysyłasz do tego modułu A? ROzumiem, że on wysyła header 30x z urlem do modułu
B? Jest jakiś problem z 30x i ajaxem? Nie wiem, tego na pewno, ale nie
wydaje mi się, że to jest jakiś problem.
> Ajax włazi na drugi URL i musi mu
> podesłać kontekst jakoś. No a to byłoby już za pośrednictwem
> przeglądarki, co nie jest dopuszczalne.
>
> Teraz kombinuję... a może Ajax dokonywałby 2 requestów? Pierwszy
> dokonywałby komunikacji z modułem A wystawiającym kontekst, a potem
> łączył się z innym URL w celu wyświetlenia edytora rekordu we współpracy
> z modułem B, który to potrafi.
>
> Dodam, że pojęcie kontekstu nie jest banalne. To może być bardzo wiele
> informacji.
Następne wpisy z tego wątku
- 20.12.12 21:13 Marek
- 20.12.12 23:12 Tomek Kańka
- 21.12.12 11:06 Marek
- 21.12.12 11:10 Marek
- 21.12.12 12:15 Tomasz Sowa
- 21.12.12 19:38 Marek
- 22.12.12 13:42 Tomasz Sowa
- 22.12.12 16:39 Marek
- 22.12.12 17:02 Tomasz Sowa
- 22.12.12 19:37 Izaak Goldstein
- 22.12.12 21:38 Borys Pogoreło
- 22.12.12 21:42 Borys Pogoreło
- 23.12.12 18:39 Marek
- 23.12.12 18:40 Marek
- 23.12.12 18:51 Marek
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2025-03-08 Cięcie wysokich tui
- 2025-03-08 Środa Wielkopolska => SAP FI/CO Konsultant wewnętrzny <=
- 2025-03-08 Prawo "gminne"
- 2025-03-08 Warszawa => Senior Recruiter <=
- 2025-03-08 Warszawa => Key Account Manager IT <=
- 2025-03-08 Najszybciej ładujące się samochody elektryczne
- 2025-03-07 AION przejety
- 2025-03-07 Warszawa => Data Engineer (Tech Leader) <=
- 2025-03-07 Gliwice => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2025-03-07 Warszawa => System Architect (background deweloperski w Java) <=
- 2025-03-07 Gliwice => Business Development Manager - Network and Network Security
- 2025-03-07 Chiny-Kraków => Senior PHP Symfony Developer <=
- 2025-03-07 Gliwice => IT Expert (Network Systems area) <=
- 2025-03-07 Chiny-Kraków => Backend Developer (Node + Java) <=
- 2025-03-07 Warszawa => Architekt rozwiązań (doświadczenie w obszarze Java, AWS