hlmod.hu
https://hlmod.hu/

XmlHttp GET
https://hlmod.hu/viewtopic.php?f=114&t=28347
Oldal: 1 / 1

Szerző:  JohanCorn [ 2017.10.16. 21:28 ]
Hozzászólás témája:  XmlHttp GET

Üdv!

Valaki tud valami biztonságos módot arra, hogy az alábbi módot csak a weboldalam tudja használni?

  1. function send_it() {
  2.                 var xmlhttp = new XMLHttpRequest();
  3.                 xmlhttp.onreadystatechange = function() {
  4.                     if (this.readyState == 4 && this.status == 200) {
  5.                        document.getElementById("demo").innerHTML = this.responseText;
  6.                     }
  7.                 };
  8.                
  9.                 var x = document.getElementById("input1").value;
  10.                 xmlhttp.open("GET", "valami.php?param1=1&str=" + x, true);
  11.                 xmlhttp.send();
  12.             }


A kifejezés lehet nem helytálló, szóval azt szeretném, hogy a valami.php-t böngészőn keresztül ne tudja megnyitni senki, csak akkor futhasson le, ha a javascript-et futtatom. Ezáltal ne lehessen manipulálni a valami.php fájlt. Gondoltam itt ilyen IP ellenőrzésre, de bizonyára van valami elterjedtebb mód is. A valami.php fájlom csak egy kiíratást tartalmaz, de ha bonyolítani szeretném valami adatbázisos dologgal, akkor nem túl biztonságos ami most van.

Szerző:  IrOn [ 2017.10.16. 22:53 ]
Hozzászólás témája:  Re: XmlHttp GET

szerintem az ip ellenőrzés a legelterjedtebb
  1. if ($_SERVER['REMOTE_ADDR'] != 'webszerverip') exit;

Szerző:  JohanCorn [ 2017.10.16. 22:59 ]
Hozzászólás témája:  Re: XmlHttp GET

IrOn123 írta:
szerintem az ip ellenőrzés a legelterjedtebb
  1. if ($_SERVER['REMOTE_ADDR'] != 'webszerverip') exit;

Köszönöm a gyors reagálást is. :)

Szerző:  Silent [ 2017.10.17. 07:23 ]
Hozzászólás témája:  Re: XmlHttp GET

Ez még nem lett biztonságos, valószínűleg nem is fog működni.

Bővebben:

Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog.

Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát).

Szerző:  JohanCorn [ 2017.10.17. 19:37 ]
Hozzászólás témája:  Re: XmlHttp GET

Silent írta:
Ez még nem lett biztonságos, valószínűleg nem is fog működni.

Bővebben:

Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog.

Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát).


Tudnál egy egyszerű példát készíteni, vagy linkelni mellyel a JWT használatát érthetném meg?

Szerző:  Silent [ 2017.10.18. 08:57 ]
Hozzászólás témája:  Re: XmlHttp GET

https://jwt.io

Itt le van írva, hogy mi az a JWT, mire jó, mikor érdemes használni és hogyan működik.

Az új topikodban pedig van egy repository, ahol meg tudod nézni, hogy a SlimPHP JWT modulja hogyan működik.

Oldal: 1 / 1 Minden időpont UTC+01:00 időzóna szerinti
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/