hlmod.hu https://hlmod.hu/ |
|
XmlHttp GET https://hlmod.hu/viewtopic.php?f=114&t=28347 |
Oldal: 1 / 1 |
Szerző: | JohanCorn [ 2017.10.16. 21:28 ] |
Hozzászólás témája: | XmlHttp GET |
Üdv! Valaki tud valami biztonságos módot arra, hogy az alábbi módot csak a weboldalam tudja használni?
A kifejezés lehet nem helytálló, szóval azt szeretném, hogy a valami.php-t böngészőn keresztül ne tudja megnyitni senki, csak akkor futhasson le, ha a javascript-et futtatom. Ezáltal ne lehessen manipulálni a valami.php fájlt. Gondoltam itt ilyen IP ellenőrzésre, de bizonyára van valami elterjedtebb mód is. A valami.php fájlom csak egy kiíratást tartalmaz, de ha bonyolítani szeretném valami adatbázisos dologgal, akkor nem túl biztonságos ami most van. |
Szerző: | IrOn [ 2017.10.16. 22:53 ] |
Hozzászólás témája: | Re: XmlHttp GET |
szerintem az ip ellenőrzés a legelterjedtebb
|
Szerző: | JohanCorn [ 2017.10.16. 22:59 ] |
Hozzászólás témája: | Re: XmlHttp GET |
IrOn123 írta: szerintem az ip ellenőrzés a legelterjedtebb
Köszönöm a gyors reagálást is. |
Szerző: | Silent [ 2017.10.17. 07:23 ] |
Hozzászólás témája: | Re: XmlHttp GET |
Ez még nem lett biztonságos, valószínűleg nem is fog működni. Bővebben: Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog. Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát). |
Szerző: | JohanCorn [ 2017.10.17. 19:37 ] |
Hozzászólás témája: | Re: XmlHttp GET |
Silent írta: Ez még nem lett biztonságos, valószínűleg nem is fog működni. Bővebben: Ezzel csak a HTTP kérés origin lett meghatározva. Mivel javascriptet használsz, amit a kliens 1/1 letölt, bármikor átírhatja a felhasználó azt a scriptet úgy, ahogy szeretné és innenstől már nem okés a dolog. Amennyiben nincs felhasználóhoz kötve a lekérés, akkor backenden úgy kell validálni a dolgokat, hogy semmiféleképpen ne tudjon baromságokat csinálni a requestekkel. Amennyiben felhasználóhoz van kötve, nem is kell a crossoriginnel foglalkozni, elég egy felhasználóazonosítás (ami gondolom egyelőre nálad sima PHP session, de javasolnám inkább a JWT használatát). Tudnál egy egyszerű példát készíteni, vagy linkelni mellyel a JWT használatát érthetném meg? |
Szerző: | Silent [ 2017.10.18. 08:57 ] |
Hozzászólás témája: | Re: XmlHttp GET |
https://jwt.io Itt le van írva, hogy mi az a JWT, mire jó, mikor érdemes használni és hogyan működik. Az új topikodban pedig van egy repository, ahol meg tudod nézni, hogy a SlimPHP JWT modulja hogyan működik. |
Oldal: 1 / 1 | Minden időpont UTC+02:00 időzóna szerinti |
Powered by phpBB® Forum Software © phpBB Limited https://www.phpbb.com/ |