[PHP][AJAX] zabezpieczenie RewriteRule Opcje

[!*!]

Dzięki RewriteRule odwołuję się ajaxem do plików php ze strony index.php ... Jak mógłbym zabezpieczyć wejście bezpośrednie z użyciem RR w adresie? Obecnie w pliku tym który prowadzi z RR sprawdzam czy adres się zgadza (index.php = stronaglowna w RR) Jednak czy istnieje inna możliwość?

[PHP] pobierz, plaintext 
<?php
$domena = $_SERVER['HTTP_REFERER'];
if ($domena != 'http://domena/stronaglowna'){    echo'nie jest'; //przekierowanie }
?>
[PHP] pobierz, plaintext 

Po prostu chciałbym ograniczyć przeglądanie tych plików bezpośrednio, mają one być tylko dostępne z poziomu index.php/zalogowania.

Ten post edytował !*! 28.06.2009, 12:08:01

[luniak]

możesz w oparciu o sessje sprawdzać czy zapytanie wysyła osoba zalogowana

[!*!]

Nie mogę, sesje działają w obrębie przeglądarki, więc jeśli otworzę kolejną kartę w której dam bezpośredni adres to sesja i tak będzie działać.

[bełdzio]

Po prostu chciałbym ograniczyć przeglądanie tych plików bezpośrednio, mają one być tylko dostępne z poziomu index.php/zalogowania.

http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow - na dole opis

[viking]

Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.

[!*!]

bełdzio ok, tylko jednego nie rozumiem...

przykładowo zrobiłem katalog test ponad katalogiem public_html ... w nim umieściłem przykładowy plik do wczytania, przez plik który znajduje się w publicu ... podanie ścieżki na sztywno w include zadziała:

[PHP] pobierz, plaintext 
<?php include '../test/plik.php'; ?>
[PHP] pobierz, plaintext 

ale jak to zapisać w RR?

Kod

RewriteRule ^(wczytaj)$ /../test/plik.php [L]

[bełdzio]

Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.

a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu?

przykładowo zrobiłem katalog test ponad katalogiem public_html ... w nim umieściłem przykładowy plik do wczytania, przez plik który znajduje się w publicu ... podanie ścieżki na sztywno w include zadziała:

kieruj do pliku ktory znajduje sie w public_html i w nim go inkluduj dodając odpowiednie filtry, np generuj token, na podstawie ktorego bedziesz spr czy odwolanie do pliku nastapilo bezposrednio czy z wykorzystaniem pliku posredniego - na blogasku w notce o CSRF masz cos o generowaniu tokenow

[!*!]

a jak sprawdzić z jakiego pliku zostało to wykonane? Poza tym, w każdym "wczytywanym" pliku przez ajax jest sprawdzanie sesji, loginu, useragenta itp. coś jeszcze dodać, o to Ci chodziło?

Ten post edytował !*! 28.06.2009, 18:55:58

[bełdzio]

wchodzisz na strone A -> generowany jest i wsadzany do sesji token -> w kodzie strony A wywolujesz plik B przy pomocy ajaxa -> w pliku B spr czy przekazany GETem token jest taki sam jak w sesji -> jesli nie exit

[viking]

a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu?

Bezpośrednio GETem w przeglądarce nie wyślesz nagłówka a o to autor pytał. Twoje zastosowanie bezpośrednio nic nie daje bo wystarczy że odwiedzę stronę i już mam wygenerowaną sesję co za tym idzie token. Aby to dobrze działało trzeba by połączyć kilka technik ekstra nagłówki, double cookie czy przesyłanie tylko POSTem.

Ten post edytował viking 29.06.2009, 06:03:59

[bełdzio]

Bezpośrednio GETem w przeglądarce nie wyślesz nagłówka a o to autor pytał. Twoje zastosowanie bezpośrednio nic nie daje bo wystarczy że odwiedzę stronę i już mam wygenerowaną sesję co za tym idzie token. Aby to dobrze działało trzeba by połączyć kilka technik ekstra nagłówki, double cookie czy przesyłanie tylko POSTem.

a kto mi zabroni napisac skrypt w perlu ktory doda taki naglowek?

a co do tokena, to generujesz go przy kazdym odswiezeniu, czyli wazny jest tylko na 1 zapytanie