Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Portal oparty na javascript
qooxdoo
post
Post #1





Grupa: Zarejestrowani
Postów: 23
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Hej

Czy portal oparty na javascript jest bezpieczny? Mam na myśli:
[HTML] pobierz, plaintext 
  1. function page(url, title){
  2. var allowed = Array("omnie.html", "main.html", "komentarze.php", "flvplayer.html");
  3. if(in_array(url, allowed)==1){
  4. document.getElementById("cnt").src = "pages/"+url;
  5. document.title=title;
  6. }
  7. else
  8. alert("Dostęp zabroniony");
  9. }
[HTML] pobierz, plaintext

Polega to na tym, że klikając w menu nie ładuje się cała strona od nowa, tylko element iframe ("cnt") zmienia swój atrybut src (na plik podany w funkcji)

W praktyce wygląda to tak:
[HTML] pobierz, plaintext 
  1. <a href="javascript:page('omnie.html', 'Inni o mnie')">Inni o mnie</a>
[HTML] pobierz, plaintext


Jedynym zabezpieczeniem jest tablica, w której znajdują się pliki, które przglądarka może ładować do iframe.

I tu moje pytanie, czy to oby bezpieczne? Bo przecierz można wpiszać w pasku adresu java script:page('../secret.txt', 'a'); niby wyskoczy błąd, ale to się dzieje po stronie przeglądarki. Hackerem nie jestem, więc wydaje mi się, że nie da sie tego obejść. Proszę o rady.

PS. mógłbym zrobić to w php, ale wtedy strona by się przeładowywała za każdym kliknięciem linka w menu. A ja musze temu zapobiec (dość obszerna statyczna część strony)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
qqrq
post
Post #2





Grupa: Zarejestrowani
Postów: 418
Pomógł: 8
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----

Ktoś tu pomyślał i źle wymyślił...
Twoje rozwiązanie jest o tyle bez sensu, że iframe-y (czy też ogólnie ramki) mają tą własność, że wczytują się do nich dane bez przeładowania strony. Musisz tylko w odnośniku powiedzieć do której ramki strona o podanym adresie ma się wczytać. Nie pamiętam dokładnie (ramek raczej nie używam), ale chyba trzeba ramce nadać imię (name), a w odnośniku ustawić cel (target) na imię naszej ramki. Czyli:

[HTML] pobierz, plaintext 
  1. <iframe src="costam.html" name="ramka"></iframe>
  2. <a href="strona.html" target="ramka">Klik!</a>
[HTML] pobierz, plaintext


i już! Twój sposób jest dobry, ale niepotrzebny - to jak z czołgiem na muchy startować. Zresztą JS można wyłączyć i wtedy strona nie będzie działać... A jeszcze ktoś ci coś brzydkiego na serwer wrzuci (jakoś by się chyba dało - dla chcącego...).
Go to the top of the page
+Quote Post

Posty w temacie
- qooxdoo   Portal oparty na javascript   27.09.2007, 19:00:46
- - RaNdaLLHD   A próbowałeś do tego celu wykorzystać Ajax?   27.09.2007, 19:28:52
- - yaro   Raczej jest to bezpieczne, tyle tylko że pokazujes...   27.09.2007, 21:15:00
- - eai   Wystarczy wyłączyć JS, zresztą do FF jest dużo wty...   28.09.2007, 00:00:44
- - qqrq   Ktoś tu pomyślał i źle wymyślił... Twoje rozwiązan...   28.09.2007, 01:21:51
- - qooxdoo   Sam już nie wiem, to można to ominąć? Cytat(qqrq ...   28.09.2007, 12:11:37
- - Wykladowca   Z tak zwanym palcem w... nosie. Twoje zabezpieczen...   30.09.2007, 18:52:38

« Następny starszy · Po stronie przeglądarki · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 27.12.2025 - 11:27
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn