[PHP][AJAX] zabezpieczenie RewriteRule

[PHP][AJAX] zabezpieczenie RewriteRule

!*! Zobacz profil	28.06.2009, 12:06:56 Post #1
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	Dzięki RewriteRule odwołuję się ajaxem do plików php ze strony index.php ... Jak mógłbym zabezpieczyć wejście bezpośrednie z użyciem RR w adresie? Obecnie w pliku tym który prowadzi z RR sprawdzam czy adres się zgadza (index.php = stronaglowna w RR) Jednak czy istnieje inna możliwość? [PHP] pobierz, plaintext <?php $domena = $_SERVER['HTTP_REFERER']; if ($domena != 'http://domena/stronaglowna'){ echo'nie jest'; //przekierowanie } ?> [PHP] pobierz, plaintext Po prostu chciałbym ograniczyć przeglądanie tych plików bezpośrednio, mają one być tylko dostępne z poziomu index.php/zalogowania. Ten post edytował *!!** 28.06.2009, 12:08:01

Odpowiedzi

viking Zobacz profil	28.06.2009, 12:28:50 Post #2
Grupa: Zarejestrowani Postów: 6 381 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.

bełdzio Zobacz profil	28.06.2009, 18:17:57 Post #3
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)	Cytat(viking @ 28.06.2009, 13:28:50 ) Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać. a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Cytat(!! @ 28.06.2009, 16:07:45 ) przykładowo zrobiłem katalog test* ponad katalogiem public_html ... w nim umieściłem przykładowy plik do wczytania, przez plik który znajduje się w publicu ... podanie ścieżki na sztywno w include zadziała: kieruj do pliku ktory znajduje sie w public_html i w nim go inkluduj dodając odpowiednie filtry, np generuj token, na podstawie ktorego bedziesz spr czy odwolanie do pliku nastapilo bezposrednio czy z wykorzystaniem pliku posredniego - na blogasku w notce o CSRF masz cos o generowaniu tokenow

viking Zobacz profil	29.06.2009, 05:50:14 Post #4
Grupa: Zarejestrowani Postów: 6 381 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Cytat(bełdzio @ 28.06.2009, 19:17:57 ) a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Bezpośrednio GETem w przeglądarce nie wyślesz nagłówka a o to autor pytał. Twoje zastosowanie bezpośrednio nic nie daje bo wystarczy że odwiedzę stronę i już mam wygenerowaną sesję co za tym idzie token. Aby to dobrze działało trzeba by połączyć kilka technik ekstra nagłówki, double cookie czy przesyłanie tylko POSTem. Ten post edytował viking 29.06.2009, 06:03:59

Posty w temacie

!*! [PHP][AJAX] zabezpieczenie RewriteRule 28.06.2009, 12:06:56

luniak możesz w oparciu o sessje sprawdzać czy zapytanie ... 28.06.2009, 12:18:33

!*! Nie mogę, sesje działają w obrębie przeglądarki, w... 28.06.2009, 12:19:46

bełdzio Cytat(!*! @ 28.06.2009, 13:06... 28.06.2009, 12:22:50

viking Większość frameworków JS wysyła nagłówek X-Reques... 28.06.2009, 12:28:50

bełdzio Cytat(viking @ 28.06.2009, 13:28:50 )... 28.06.2009, 18:17:57

viking Cytat(bełdzio @ 28.06.2009, 19:17:57 ... 29.06.2009, 05:50:14

bełdzio Cytat(viking @ 29.06.2009, 06:50:14 )... 29.06.2009, 14:39:45

!*! bełdzio ok, tylko jednego nie rozumiem... przykła... 28.06.2009, 15:07:45

!*! a jak sprawdzić z jakiego pliku zostało ... 28.06.2009, 18:55:06

bełdzio wchodzisz na strone A -> generowany jest i wsad... 28.06.2009, 23:38:24

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 10.10.2025 - 19:16

Hosting zapewnia

Forum PHP.pl