Re: Ajax - kwestie bezpieczeństwa - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.www › Ajax - kwestie bezpieczeństwa › Re: Ajax - kwestie bezpieczeństwa

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!.POSTED!not-for-mail
From: Marek <p...@s...com>
Newsgroups: pl.comp.www
Subject: Re: Ajax - kwestie bezpieczeństwa
Date: Fri, 21 Dec 2012 19:38:18 +0100
Organization: ATMAN - ATM S.A.
Lines: 48
Message-ID: <kb2aat$tra$1@node2.news.atman.pl>
References: <kancal$fhc$1@node2.news.atman.pl> <s...@t...dom.local>
<kaqq5q$okr$1@node2.news.atman.pl> <kaqq8c$okr$2@node2.news.atman.pl>
<s...@t...dom.local> <kas7r3$32s$1@node2.news.atman.pl>
<s...@t...dom.local> <katfgl$uo8$1@node1.news.atman.pl>
<s...@t...dom.local> <kavrhk$ag8$1@node1.news.atman.pl>
<s...@t...dom.local> <kb1cas$fl$1@node2.news.atman.pl>
<kb1chv$pfn$1@node1.news.atman.pl> <kb1gc8$om2$1@news.dialog.net.pl>
NNTP-Posting-Host: 89-69-209-185.dynamic.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1356115101 30570 89.69.209.185 (21 Dec 2012 18:38:21
GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Fri, 21 Dec 2012 18:38:21 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:17.0) Gecko/17.0 Thunderbird/17.0
In-Reply-To: <kb1gc8$om2$1@news.dialog.net.pl>
Xref: news-archive.icm.edu.pl pl.comp.www:401701
[ ukryj nagłówki ]
W dniu 2012-12-21 12:15, Tomasz Sowa pisze:
> On 2012.12.21 11:10, Marek wrote:
>
>> Tak czy owak nasza rozmowa nakierowała mnie na rozwiązanie
>> niezależnie od tego czy udało mi się przekazać mimo starań szkic
>> problemu czy nie :-D
>
> A ja myślę że przekombinowałeś, też nie widzę różnicy czy to normalny
> request czy przez ajax.
>
>

Z pewnością przekombinowałem. Jednakże co do braku różnic w obsłudze
requestów nie zgodzę się. Problem jest w tym, że otwarcie Ajaxa ma
stronie nie zmienia jego URL. A więc w konsekwencji Ajax musi
komunikować się albo z innym URL (wtedy różnica jest oczywista) albo
jeśli z tym samym URL, to od strony skryptu PHP trzeba to uwzględnić.
Przykładowo jeśli przyjmujemy model transakcyjny obsługi formularzy,
gdzie ID transakcji zmienia się przy każdym requeście, to zobacz co się
dzieje:
1. PHP otwiera sobie formularz i ustawia w nim ukryte pole z ID bieżącej
transakcji.
2. Gdy submitujemy ten formularz, to PHP sprawdza czy ID transakcji się
zgadza z bieżącym ID w systemie.
3. Gdy teraz Ajax wtrącimy pomiędzy punkty 1 i 2, który ma za zadanie
zmodyfikować wartość jakiegoś pola tego formularza, to jego request
zmieni ID bieżącej transakcji na kolejny. Próba submitowania formularza
w p. 2 nie powiedzie się.

To pokazuje, że do obsługi równoległych requestów od Ajaxa trzeba
wprowadzić odrębne zarządzanie transakcjami lub w ogóle ich nie
obsługiwać dla tego typu wywołań. A więc taki model programistyczny
będzie wymagał sporych przeróbek.

Gdybyśmy zrezygnowali z Ajaxa na rzecz klasycznego podejścia to sprawa
się upraszcza.

1. PHP otwiera sobie formularz i ustawia w nim ukryte pole z ID bieżącej
transakcji.

2. Klikamy opcję ustawiania pola i zamiast Ajaxa otwiera się nam inny
URL z formularzem i nowym ID transakcji. Formularz z p. 1 znika tym
samym. Submitujemy ten nowy formularz i wracamy do poprzedniego URL.

3. Znów się otwiera formularz z p.1 lecz z aktualnym numerem ID
transakcji - innym niż w p. 1 i w p. 2 oraz z wypełnionym polem będącym
skutkiem pracy formularza z p.2. Submitowanie tego formularza powiedzie
się teraz.