Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Portal oparty na javascript
qooxdoo
post
Post #1





Grupa: Zarejestrowani
Postów: 23
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Hej

Czy portal oparty na javascript jest bezpieczny? Mam na myśli:
[HTML] pobierz, plaintext 
  1. function page(url, title){
  2. var allowed = Array("omnie.html", "main.html", "komentarze.php", "flvplayer.html");
  3. if(in_array(url, allowed)==1){
  4. document.getElementById("cnt").src = "pages/"+url;
  5. document.title=title;
  6. }
  7. else
  8. alert("Dostęp zabroniony");
  9. }
[HTML] pobierz, plaintext

Polega to na tym, że klikając w menu nie ładuje się cała strona od nowa, tylko element iframe ("cnt") zmienia swój atrybut src (na plik podany w funkcji)

W praktyce wygląda to tak:
[HTML] pobierz, plaintext 
  1. <a href="javascript:page('omnie.html', 'Inni o mnie')">Inni o mnie</a>
[HTML] pobierz, plaintext


Jedynym zabezpieczeniem jest tablica, w której znajdują się pliki, które przglądarka może ładować do iframe.

I tu moje pytanie, czy to oby bezpieczne? Bo przecierz można wpiszać w pasku adresu java script:page('../secret.txt', 'a'); niby wyskoczy błąd, ale to się dzieje po stronie przeglądarki. Hackerem nie jestem, więc wydaje mi się, że nie da sie tego obejść. Proszę o rady.

PS. mógłbym zrobić to w php, ale wtedy strona by się przeładowywała za każdym kliknięciem linka w menu. A ja musze temu zapobiec (dość obszerna statyczna część strony)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
yaro
post
Post #2





Grupa: Zarejestrowani
Postów: 160
Pomógł: 4
Dołączył: 22.04.2006
Skąd: Kraków

Ostrzeżenie: (0%)
-----

Raczej jest to bezpieczne, tyle tylko że pokazujesz wszystkie podstrony w tablicy. Z resztą i tak sam byłoby z linkami. Więc sądzę że to rozwiązanie jest bezpieczne. Musisz się zabezpieczyć po stronie serwera.
Nawet to sprawdzanie nie jest potrzebne, bo lepiej zabezpieczysz sie po stronie serwera.
Go to the top of the page
+Quote Post

Posty w temacie
- qooxdoo   Portal oparty na javascript   27.09.2007, 19:00:46
- - RaNdaLLHD   A próbowałeś do tego celu wykorzystać Ajax?   27.09.2007, 19:28:52
- - yaro   Raczej jest to bezpieczne, tyle tylko że pokazujes...   27.09.2007, 21:15:00
- - eai   Wystarczy wyłączyć JS, zresztą do FF jest dużo wty...   28.09.2007, 00:00:44
- - qqrq   Ktoś tu pomyślał i źle wymyślił... Twoje rozwiązan...   28.09.2007, 01:21:51
- - qooxdoo   Sam już nie wiem, to można to ominąć? Cytat(qqrq ...   28.09.2007, 12:11:37
- - Wykladowca   Z tak zwanym palcem w... nosie. Twoje zabezpieczen...   30.09.2007, 18:52:38

« Następny starszy · Po stronie przeglądarki · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 26.12.2025 - 08:31
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn