[Resolvido] proteção na consulta ajax

[desisto 0]

vi que em php tem essa função: $_SERVER['HTTP_X_REQUESTED_WITH']

 

que identifica o tipo de cabecalho enviado pelo js, no caso "XMLHttpRequest"

 

 

 

 

em asp como seria?

[Salgado 4]

Desisto, teste o Request.ServerVariables usando esse parametro para verificar se retorna algo.

[Patrique 0]

Eu criei um script de cadastro em ajax utilizando o jQuery, nele para não permitir que venha registros de outros sites eu verifico se o POST do form esta partindo do meu site, para isso eu uso Request.ServerVariables HTTP_REFERER, com isso somente a partir do meu site o sistema registra.

[desisto 0]

Salgado

 

ja tentei todos Request.ServerVariables e nenhum retornou nada de protocolo

 

 

 

 

Patrique

 

HTTP_REFERER não funciona muito bem, e é facil burlar

[Patrique 0]

Desconheço que de para burlar o referer, teria um exemplo ae?

[desisto 0]

vide mp :)

[Salgado 4]

Não ensinando, mas dizendo a possibilidade. Referer é possível ser "enganado" usando um nome de computador alterado.

 

Não sei se é apenas nos novos IIS ou apenas na plataforma .NET, mas encontrei alguns sitios indicando o uso do HTTP_X_REQUESTED_WITH para identificar se é uma requisição AJAX.

[desisto 0]

Não ensinando, mas dizendo a possibilidade. Referer é possível ser "enganado" usando um nome de computador alterado.

 

Não sei se é apenas nos novos IIS ou apenas na plataforma .NET, mas encontrei alguns sitios indicando o uso do HTTP_X_REQUESTED_WITH para identificar se é uma requisição AJAX.

 

as vezes é complicado explicar sem ensinar, ou dar dica de como fazer o mal, por isso mandei mp ao Pat.

 

 

vou te falar Salgado, testei tudo que vi e acabei colocando pra rodar -> $_SERVER['HTTP_X_REQUESTED_WITH']

 

request.ServerVariables("HTTP_X_REQUESTED_WITH") é o correto :)

 

de qq forma tinha mandado listar todas propriedades do servervariables e nao continha o bendito HTTP_X_REQUESTED_WITH

 

 

 

 

enfim, request.ServerVariables("HTTP_X_REQUESTED_WITH") da o retorno esperado: XMLHttpRequest

 

problema resolvido, vou rodar aplicações pra testar se é seguro

 

 

 

 

[]s

[Salgado 4]

as vezes é complicado explicar sem ensinar, ou dar dica de como fazer o mal, por isso mandei mp ao Pat.

Sei bem como é isso, às vezes é até complicado de explicar algumas falhas de segurança sem mostrar como explorá-las. Nesse caso, ainda deu para dizer a causa sem mostrar como fazer exatamente.

 

vou te falar Salgado, testei tudo que vi e acabei colocando pra rodar -> $_SERVER['HTTP_X_REQUESTED_WITH']

 

request.ServerVariables("HTTP_X_REQUESTED_WITH") é o correto :)

 

de qq forma tinha mandado listar todas propriedades do servervariables e nao continha o bendito HTTP_X_REQUESTED_WITH

 

 

 

 

enfim, request.ServerVariables("HTTP_X_REQUESTED_WITH") da o retorno esperado: XMLHttpRequest

 

problema resolvido, vou rodar aplicações pra testar se é seguro

 

 

 

 

[]s

Sim, como não tenho mais programado a algum tempo às vezes me surgem essas "coisas" novas no meio das "antigas", desconhecia essa ServerVariable também.

 

Talvez a forma mais "segura" nesse caso seja a combinação com "chaves" enviadas em conjunto com a requisição e comparadas com alguma session/cookie.

[desisto 0]

todos que li se referiam ao codigo como solução ajax+PHP, por isso recorri ao forum hehehehe

 

 

 

 

minha chamada é passada a chave da página - uma chave aleatoria completamente <> umas das outras, mas se alguem abrir 2 noticias terá 2 chaves, e no caso isso é um ponto fraco

 

estou implementando um load de comentarios com jquery que passa via post, ja adianta alguma coisa, mas se submetessem localmente nao adiantaria muito

 

cookie e session não acho muita vantagem pro caso, mas vou continuar testando ate achar alguma coisa nova

 

se o uso dessa propriedade não der resultado, voltarei avisando

[Patrique 0]

Oxeeee legal, ainda não conhecia essa, vou começar a utiliza-la tb.

 

valew.