hlmod.hu

Magyar Half-Life Mód közösség!
Pontos idő: 2024.03.28. 14:18



Jelenlévő felhasználók

Jelenleg 231 felhasználó van jelen :: 1 regisztrált, 0 rejtett és 230 vendég

A legtöbb felhasználó (1565 fő) 2020.11.21. 11:26-kor tartózkodott itt.

Regisztrált felhasználók: Google [Bot] az elmúlt 5 percben aktív felhasználók alapján

Utoljára aktív
Ahhoz hogy lásd ki volt utoljára aktív, be kell jelentkezned.



Az oldal teljeskörű
használatához regisztrálj.

Regisztráció

Kereső


Új téma nyitása  Hozzászólás a témához  [ 6 hozzászólás ] 
Szerző Üzenet
 Hozzászólás témája: XmlHttp GET
HozzászólásElküldve: 2017.10.16. 21:28 
Offline
Fórum Moderátor
Avatar

Csatlakozott: 2014.05.01. 13:18
Hozzászólások: 627
Megköszönt másnak: 61 alkalommal
Megköszönték neki: 104 alkalommal
Üdv!

Valaki tud valami biztonságos módot arra, hogy az alábbi módot csak a weboldalam tudja használni?

  1. function send_it() {
  2.                 var xmlhttp = new XMLHttpRequest();
  3.                 xmlhttp.onreadystatechange = function() {
  4.                     if (this.readyState == 4 && this.status == 200) {
  5.                        document.getElementById("demo").innerHTML = this.responseText;
  6.                     }
  7.                 };
  8.                
  9.                 var x = document.getElementById("input1").value;
  10.                 xmlhttp.open("GET", "valami.php?param1=1&str=" + x, true);
  11.                 xmlhttp.send();
  12.             }


A kifejezés lehet nem helytálló, szóval azt szeretném, hogy a valami.php-t böngészőn keresztül ne tudja megnyitni senki, csak akkor futhasson le, ha a javascript-et futtatom. Ezáltal ne lehessen manipulálni a valami.php fájlt. Gondoltam itt ilyen IP ellenőrzésre, de bizonyára van valami elterjedtebb mód is. A valami.php fájlom csak egy kiíratást tartalmaz, de ha bonyolítani szeretném valami adatbázisos dologgal, akkor nem túl biztonságos ami most van.


Hozzászólás jelentése
Vissza a tetejére
   
 Hozzászólás témája: Re: XmlHttp GET
HozzászólásElküldve: 2017.10.16. 22:53 
Offline
Tiszteletbeli

Csatlakozott: 2010.02.04. 19:12
Hozzászólások: 3528
Megköszönt másnak: 26 alkalommal
Megköszönték neki: 180 alkalommal
szerintem az ip ellenőrzés a legelterjedtebb
  1. if ($_SERVER['REMOTE_ADDR'] != 'webszerverip') exit;

_________________
http://www.ebateam.eu/

Ők köszönték meg IrOn nek ezt a hozzászólást: JohanCorn (2017.10.16. 22:59)
  Népszerűség: 2.27%


Hozzászólás jelentése
Vissza a tetejére
   
 Hozzászólás témája: Re: XmlHttp GET
HozzászólásElküldve: 2017.10.16. 22:59 
Offline
Fórum Moderátor
Avatar

Csatlakozott: 2014.05.01. 13:18
Hozzászólások: 627
Megköszönt másnak: 61 alkalommal
Megköszönték neki: 104 alkalommal
IrOn123 írta:
szerintem az ip ellenőrzés a legelterjedtebb
  1. if ($_SERVER['REMOTE_ADDR'] != 'webszerverip') exit;

Köszönöm a gyors reagálást is. :)


Hozzászólás jelentése
Vissza a tetejére
   
 Hozzászólás témája: Re: XmlHttp GET
HozzászólásElküldve: 2017.10.17. 07:23 
Offline
Signore Senior
Avatar

Csatlakozott: 2011.09.09. 17:39
Hozzászólások: 4020
Megköszönt másnak: 12 alkalommal
Megköszönték neki: 139 alkalommal
Ez még nem lett biztonságos, valószínűleg nem is fog működni.

Bővebben:

Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog.

Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát).


Hozzászólás jelentése
Vissza a tetejére
   
 Hozzászólás témája: Re: XmlHttp GET
HozzászólásElküldve: 2017.10.17. 19:37 
Offline
Fórum Moderátor
Avatar

Csatlakozott: 2014.05.01. 13:18
Hozzászólások: 627
Megköszönt másnak: 61 alkalommal
Megköszönték neki: 104 alkalommal
Silent írta:
Ez még nem lett biztonságos, valószínűleg nem is fog működni.

Bővebben:

Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog.

Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát).


Tudnál egy egyszerű példát készíteni, vagy linkelni mellyel a JWT használatát érthetném meg?


Hozzászólás jelentése
Vissza a tetejére
   
 Hozzászólás témája: Re: XmlHttp GET
HozzászólásElküldve: 2017.10.18. 08:57 
Offline
Signore Senior
Avatar

Csatlakozott: 2011.09.09. 17:39
Hozzászólások: 4020
Megköszönt másnak: 12 alkalommal
Megköszönték neki: 139 alkalommal
https://jwt.io

Itt le van írva, hogy mi az a JWT, mire jó, mikor érdemes használni és hogyan működik.

Az új topikodban pedig van egy repository, ahol meg tudod nézni, hogy a SlimPHP JWT modulja hogyan működik.


Hozzászólás jelentése
Vissza a tetejére
   
Hozzászólások megjelenítése:  Rendezés  
Új téma nyitása  Hozzászólás a témához  [ 6 hozzászólás ] 


Ki van itt

Jelenlévő fórumozók: nincs regisztrált felhasználó valamint 2 vendég


Nyithatsz új témákat ebben a fórumban.
Válaszolhatsz egy témára ebben a fórumban.
Nem szerkesztheted a hozzászólásaidat ebben a fórumban.
Nem törölheted a hozzászólásaidat ebben a fórumban.
Nem küldhetsz csatolmányokat ebben a fórumban.

Keresés:
Ugrás:  
Powered by phpBB® Forum Software © phpBB Limited
Magyar fordítás © Magyar phpBB Közösség
Portal: Kiss Portal Extension © Michael O'Toole