Discussion :

[fross]

Bonjour,
Dans le cadre de la sécurisation mon appli ajax, j'ai une routine en asp 3.0 qui controle un identifiant de session et une autre clé plus le referrer de la page appellante a chaque ouverture de page.
Le problème est quand j'utilise une redirection jacascript, je perd le referrer.

Pas de problème si j'utilise une balise A

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<a href="toto.asp">Toto</a>

Mais si je fait la redirection javascript, du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
document.location.reload();
ou
document.location = document.location.href;
ou
document.location = "toto.asp";

Et-il possible de recharger la page ou de faire une redirection javascript en gardant le referrer ?

fross

[SpaceFrog]

ben ça me parait logique que non...
je ne sais pas si referrer est en lecture seule mais essaye une bidouille genre passer le referrer en paramètre en le forcer sur le onload ?

[fross]

Plus précisement ?
Ca m'interesse.
Mais Je suis pas sur que passer le referrer en header soit la solution car du coup autant pas mettre la solution de controle en place.

Merci

fross

[SpaceFrog]

ban essaye de conacténer l'url en passant en paramètre l'url du referrer


genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
var keeprer=self.url
 
window.location.href= "page.asp?"+keepref

et dans la page asp tu récupère le paramètre ou alors en javascript dasn le onload tu parses l'url ... (cf FAQ recuperation de params dans l'url)

[fross]

Salut,
Simplement comme ca, ok.
Ok, je vais utiliser la balise A, dans laquelle je concatenerait les variables nécessaire et essayerai de créer un style identique a mes input button.

Je te souhaite une bonne journée

[SpaceFrog]

Attention je n'ai pas testé, il se peut que referrer soit en lecture seule ! ou bien encore que cela ne focntionne que sur un browser et ne passe pas sur les autres ...

Masi tu peux t'inspirer de cette methode pour passer un flag et tester le flag ensuite ...

[fross]

Salut je te remercie,
Si je concatène un flag dans l'url autant dire le hakers met ce qu'il veut dans sa ligne de commande et hop, sécurité sautée.
Le hakers n'utilisera de toutes facon pas un browser pour son attaque.

Bonne journée

[SpaceFrog]

certains browser proposent une extension qui permet de modifier le referrer ...

mais pourquoi ne fais tu pas le test en php ou avec des variables de session ? enfin coté serveur quoi ... parceque compter sur javascript pour la sécurité ...

[fross]

Biensur c'est ce que je fait en ASP 3.0 coté serveur, mais en plus d'autres test, je teste le referer avec ASP , car on peut voler la session et envoyer un code, c'est pourquoi il faut aussi tester que la demande provienne aussi du même serveur.

Le problème est que lorsque l'on fait une redirection javascript, les headers envoyer par le browser lors de sa demande au serveur ne contiennent aucun referrer, même si la page est sur le même serveur.
Par contre si on utilise une balise A, le browser envoie bien des informations de referrer.

le pourquoi de ma question et là.

Voila pour cerner le problème.

[SpaceFrog]

c'est sans solution ...
les moteurs de recherche se basent sur le seul moyen de suivre le fil d'un parcours c'est le referrer donc les liens en javascript ne sont pas traçables sauf à y adjoindre des éléments de session avec la securité que tu leur connais ...