-
Data: 2013-10-29 13:45:32
Temat: Re: Bezpieczeństwo komunikacji Ajax
Od: Marek <p...@s...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2013-10-29 13:26, Neevor@W pisze:
>
> Generalnie na końcu obsługi zdarzenia uruchamiasz jakiegoś POSTa.
> Ten POST idzie na konkretny URL.
> Po stronie serwera sprawdzasz, czy aktualny użytkownik ma prawo wywołać
> tego URLa. Jeśli może, kontynuujesz... Jeśli nie, 404, 401, 503 czy co
> ci tam do głowy przyjdzie.
Ok, to łapię. Jednakże może się zdarzyć, że użytkownik ma prawo do URL'a
wysłanego z Ajaxa ale przebywa na URLu, spod którego wspomniane
wywołanie Ajaxowe nie ma sensu. Przykładowo jesteśmy w edytorze listy
klientów gdzie możemy wykasować któregoś z nich. Klikamy "kasuj" obok
nazwiska, wołamy skasuj(ID_klienta), Ajax wykonuje akcję, użytkownik znika.
Teraz sytuacja "patologiczna", przed którą chciałbym się uchronić.
Użytkownik jest zalogowany, ma prawo do kasowania klientów i nie jest w
edytorze użytkowników lecz np. na stronie głównej serwisu. W jakiś
sposób wywołuje z konsoli skasuj(234). Co z tym zrobić? Pozwolić na
skasowanie klienta 234? Niby wolno to zrobić ale nie z tego miejsca.
Funkcja skasuj() nie wie skąd może być wywoływana więc sama siebie nie
może zweryfikować. Z kolei po stronie PHP też nie mam jak tego sprawdzić
(chyba) z uwagi na to, że wywołania Ajax'a nie są związane z żadnym
URLem. A może nie przejmować się tym wcale i pozwalać na takie operacje?
--
Pozdrawiam
Marek
Następne wpisy z tego wątku
- 30.10.13 02:03 Exe Very Cute
- 30.10.13 08:03 Neevor@W
- 30.10.13 21:40 Marek
- 30.10.13 21:44 Marek
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2024-10-16 Warszawa => Programista Dynamics 365 CRM <=
- 2024-10-16 Jak dobrze zrobić dach drewutni?
- 2024-10-16 Warszawa => Dynamics 365 CRM Developer <=
- 2024-10-16 Wrocław => Key Account Manager <=
- 2024-10-16 imigranci
- 2024-10-16 Warszawa => Key Account Manager <=
- 2024-10-16 Białystok => Senior Developer React Native <=
- 2024-10-16 Białystok => Projektant/Programista React Native <=
- 2024-10-16 Namierzanie telefonu - Andrychów cd.
- 2024-10-16 Katowice => QA Inżynier <=
- 2024-10-16 Warszawa => Key Account Manager <=
- 2024-10-16 Warszawa => Expert Recruiter 360 <=
- 2024-10-16 Białystok => Technical Lead ( (Java Background)) <=
- 2024-10-16 Kraków => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-10-16 Katowice => Key Account Manager (ERP) <=