Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][AJAX] zabezpieczenie RewriteRule
!*!
post
Post #1





Grupa: Zarejestrowani
Postów: 4 298
Pomógł: 447
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----


Dzięki RewriteRule odwołuję się ajaxem do plików php ze strony index.php ... Jak mógłbym zabezpieczyć wejście bezpośrednie z użyciem RR w adresie? Obecnie w pliku tym który prowadzi z RR sprawdzam czy adres się zgadza (index.php = stronaglowna w RR) Jednak czy istnieje inna możliwość?

  1. <?php
  2. $domena = $_SERVER['HTTP_REFERER'];
  3. if ($domena != 'http://domena/stronaglowna'){    echo'nie jest'; //przekierowanie }
  4. ?>


Po prostu chciałbym ograniczyć przeglądanie tych plików bezpośrednio, mają one być tylko dostępne z poziomu index.php/zalogowania.

Ten post edytował !*! 28.06.2009, 12:08:01
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
viking
post
Post #2





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.
Go to the top of the page
+Quote Post
bełdzio
post
Post #3





Grupa: Zarejestrowani
Postów: 690
Pomógł: 81
Dołączył: 6.04.2005
Skąd: Szczecin

Ostrzeżenie: (0%)
-----


Cytat(viking @ 28.06.2009, 13:28:50 ) *
Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.

a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Cytat(!*! @ 28.06.2009, 16:07:45 ) *
przykładowo zrobiłem katalog test ponad katalogiem public_html ... w nim umieściłem przykładowy plik do wczytania, przez plik który znajduje się w publicu ... podanie ścieżki na sztywno w include zadziała:

kieruj do pliku ktory znajduje sie w public_html i w nim go inkluduj dodając odpowiednie filtry, np generuj token, na podstawie ktorego bedziesz spr czy odwolanie do pliku nastapilo bezposrednio czy z wykorzystaniem pliku posredniego - na blogasku w notce o CSRF masz cos o generowaniu tokenow
Go to the top of the page
+Quote Post
viking
post
Post #4





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


Cytat(bełdzio @ 28.06.2009, 19:17:57 ) *
a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Bezpośrednio GETem w przeglądarce nie wyślesz nagłówka a o to autor pytał. Twoje zastosowanie bezpośrednio nic nie daje bo wystarczy że odwiedzę stronę i już mam wygenerowaną sesję co za tym idzie token. Aby to dobrze działało trzeba by połączyć kilka technik ekstra nagłówki, double cookie czy przesyłanie tylko POSTem.

Ten post edytował viking 29.06.2009, 06:03:59
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 10.10.2025 - 19:16