eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.wwwAjax - kwestie bezpieczeństwaRe: Ajax - kwestie bezpieczeństwa
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
    atman.pl!.POSTED!not-for-mail
    From: Tomek Kańka <t...@t...eu.org>
    Newsgroups: pl.comp.www
    Subject: Re: Ajax - kwestie bezpieczeństwa
    Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
    Organization: ATMAN - ATM S.A.
    Lines: 50
    Message-ID: <s...@t...dom.local>
    References: <kancal$fhc$1@node2.news.atman.pl> <s...@t...dom.local>
    <kaqq5q$okr$1@node2.news.atman.pl> <kaqq8c$okr$2@node2.news.atman.pl>
    <s...@t...dom.local> <kas7r3$32s$1@node2.news.atman.pl>
    <s...@t...dom.local> <katfgl$uo8$1@node1.news.atman.pl>
    NNTP-Posting-Host: host-80-238-125-99.jmdi.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit
    X-Trace: node2.news.atman.pl 1356020674 6246 80.238.125.99 (20 Dec 2012 16:24:34 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
    User-Agent: slrn/0.9.9p1 (Linux)
    Xref: news-archive.icm.edu.pl pl.comp.www:401690
    [ ukryj nagłówki ]

    Marek <p...@s...com> napisał(a)
    > W dniu 2012-12-19 21:51, Tomek Kańka pisze:
    >
    >> Dlaczego Twoje ajaxowe requesty odbywają się poza sesją i jak udało Ci
    >> się ro osiągnąć?
    >
    > Nie odbywają się poza sesją. Tego nie napisałem. Może bardziej
    > konkretnie, Jest sobie w PHP moduł A, który wyświetla rekordy z jakiejś
    > tabeli. Gdy wybierzemy jakiś rekord do edycji, to przeładowujemy
    > formularz, dane trafiają do modułu A, który waliduje nasze żądanie i
    > jeśli wszystko jest ok, to ustawia w sesji kontekst i przekierowuje na
    > inny URL. Tam moduł B odbiera kontekst i wyświetla inny formularz, w
    > którym możemy edytować kliknięty rekord.
    >
    > Takie rozwiązanie daje nam bezpieczeństwo w takiej postaci, że
    > bezpośrednie wejście na ten "inny URL", gdzie pracuje moduł B, i
    > przesyłanie czegokolwiek GETem lub POSTem, nie będzie w stanie uruchomić
    > edycji jakiegokolwiek rekordu bo moduł B nie nasłuchuje tych zmiennych
    > wcale. On czego na zmienne sesyjne.
    >
    > Teraz wkracza Ajax. Jesteśmy na pierwszym URL z listą rekordów. Klikamy
    > jakiś do edycji no i Ajax musiałby w tym momencie wyświetlić od razu
    > edytor - no bo po to jest Ajax aby strona się nie przeładowywała.

    > Nie ma etapu komunikacji za pomocą sesji.

    Może wynika to z tego, że nie znam PHP i w związku z tym nie rozumiem
    Twojego mechanizmu, ale...

    co to znaczy "nie ma etapu komunikacji za pomocą sesji"?

    Przecież (już stosując niskopoziomowy żargon) te ajaxowe requesty
    zawierają te same cookie i należą do tej samej sesji. Dlaczego ich nie
    wysyłasz do tego modułu A? ROzumiem, że on wysyła header 30x z urlem do modułu
    B? Jest jakiś problem z 30x i ajaxem? Nie wiem, tego na pewno, ale nie
    wydaje mi się, że to jest jakiś problem.



    > Ajax włazi na drugi URL i musi mu
    > podesłać kontekst jakoś. No a to byłoby już za pośrednictwem
    > przeglądarki, co nie jest dopuszczalne.
    >
    > Teraz kombinuję... a może Ajax dokonywałby 2 requestów? Pierwszy
    > dokonywałby komunikacji z modułem A wystawiającym kontekst, a potem
    > łączył się z innym URL w celu wyświetlenia edytora rekordu we współpracy
    > z modułem B, który to potrafi.
    >
    > Dodam, że pojęcie kontekstu nie jest banalne. To może być bardzo wiele
    > informacji.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: