DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > (X)HTML, JavaScript, DHTML, XML, CSS
Osvežavanje strane Cross-Site XMLHttpRequest
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

(X)HTML, JavaScript, DHTML, XML, CSS Client scripting tehnologije, Dynamic HTML, Cascading Stylesheets, XML i standardi

Odgovori
 
Alati teme Način prikaza
Staro 18. 03. 2008.   #1
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default
ne ne, sad mesas babe i zabe, ne govorim o cross-frame scriptingu, to treba za bude zabranjeno jer realno predstavlja pretnju po sigurnost, jasna stvar.

Pricam o ucitavanju sadrzaja sa drugog domena, jer mozes da ucitas javascript sa koje god zelis externe lokacije (stavis src="google.com/neki_skript.js" i to ce se ucitati), zasto onda ne moze XHR da radi isto to po defaultu? Citao sam dosta na tu temu, ali nisam nasao objasnjenje koji su konkretni napadi moguci ako se dozvoli cross-domain ajax ? Takodje zasto bi slanje zahteva kroz proxy bilo sigurnije od direktnog slanja zaheva na taj domen? Svi tekstovi na tu temu su ili genericki: "to je opasno, ako posumnjas u to goreces u paklu", ili su objasnjenja tipa: "mozda to uzme programer koji nema pojma, pa uradi nesto glupo sa tim (kao da to generalno ne vazi uvek)"
__________________
Leadership is the art of getting people to want to do what you know must be done.
Poslednja izmena od ivanhoe : 18. 03. 2008. u 19:57.
ivanhoe je offline   Odgovorite uz citat
Staro 18. 03. 2008.   #2
cvele
Banned
Knowledge base
 
Avatar cvele
 
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
cvele ima spektakularnu aurucvele ima spektakularnu auru
Default
Kapiram odakle ti zabuna, ali pazi to su sustinski iste stvari... mislim na cross domain scripting i cross domain ajax. Isto kao sto mozes ucitati neku sliku sa drugog domena, mozes i javascript fajl, to nije zabranjeno. Ali nemozes, primera radi, upravljati DOMom drugog domena sa javascriptom sa svog domena, kao sto nemozes uraditi XMLHttpRequest koji je sustinski samo js objekat i nista drugo.

Cross domain ajax je ustvari fraza koja je evoluirala od cross domain scripting-a, zato sto za njime postoji legitimna potreba za razligu od parenta
cvele je offline   Odgovorite uz citat
Staro 18. 03. 2008.   #3
cvele
Banned
Knowledge base
 
Avatar cvele
 
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
cvele ima spektakularnu aurucvele ima spektakularnu auru
Default
sorry, zaboravih da dodam. cross frame je uzet kao primer jer se tako najlakse demonstrira sta se podrazumeva sa cross domain scriptingom.

kao primer uzmi sledece, ucitaj frame sa svog domena... i pristupices mu normalno ali ucitaj google u frame i neces moci da mu pristupas.
cvele je offline   Odgovorite uz citat
Staro 19. 03. 2008.   #4
akubra
član
Certified
 
Avatar akubra
 
Datum učlanjenja: 17.10.2006
Poruke: 65
Hvala: 42
18 "Hvala" u 9 poruka
akubra is on a distinguished road
Default
Citat:
Originalno napisao ivanhoe Pogledajte poruku
Pricam o ucitavanju sadrzaja sa drugog domena, jer mozes da ucitas javascript sa koje god zelis externe lokacije (stavis src="google.com/neki_skript.js" i to ce se ucitati), zasto onda ne moze XHR da radi isto to po defaultu? Citao sam dosta na tu temu, ali nisam nasao objasnjenje koji su konkretni napadi moguci ako se dozvoli cross-domain ajax ?
Jedan konkretan primer. Preko XMLHttpRequest-a, sa neke svoje strane, posaljes zahtev (obican HEAD je dovoljan) na neki drugi sajt, koji ima autentikaciju i za to koristi kukije, i onda sa getAllResponseHeaders() pokupis headere koje vraca taj server. Tu se nadje svasta zanimljivo, sesisije, korisnicka imena, lozinke.
akubra je offline   Odgovorite uz citat
"Hvala" akubra za poruku:
Odgovori

« Prethodna tema | Sledeća tema »


Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
cross-domain komunikacije pomocu iframe-a ivanhoe (X)HTML, JavaScript, DHTML, XML, CSS 3 27. 05. 2009. 18:14
Ajax & cross-subdomain problemi bNasty (X)HTML, JavaScript, DHTML, XML, CSS 9 17. 01. 2007. 01:15
cross-domain scripting i iframe ivanhoe (X)HTML, JavaScript, DHTML, XML, CSS 0 06. 05. 2006. 00:12
XMLHttpRequest - početak bluesman (X)HTML, JavaScript, DHTML, XML, CSS 3 18. 06. 2005. 13:52
XMLHttpRequest-Ajax i primena ? nixa (X)HTML, JavaScript, DHTML, XML, CSS 12 17. 06. 2005. 12:30


Vreme je GMT +2. Trenutno vreme je 22:33.

Kontaktirajte nas - DevProTalk Forumi - Arhiva - Početak

Prijatelji: www.blogodak.com | www.sestroslatka.com

Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.