Discussion :

[Michel_57]

Bonjour !

Il y a une question que je me suis posée depuis longtemps et il serait temps que je trouve la réponse. Malheureusement je ne sais pas quels mots clé utiliser dans ma recherche via google. Alors peut-être avez-vous une piste ou même une réponse.

Peut-on trafiquer le code AJAX ? Imaginons par exemple que mon site fasse une requète AJAX toutes les 5 secondes pour actualiser quelque chose dans la page, mais seulement 10 fois. L'utilisateur peut-il modifier ceci et faire que cette réactualisation se fasse par exemple infiniment toutes les secondes ? Il suffirait pour cela modifier légèrement le code AJAX envoyé par le serveur ... Est-ce possible ?

De même peut-on trafiquer un formulaire ? Imaginons que j'ai un champ select avec 2 options de valeur 0 et 1, l'utilisateur peut-il faire en sorte que ce champ valle 33 à l'envoi ?
Dans le même ordre d'idée, peut-il aussi créer un formulaire sur son propre site pour en envoyer les données chez moi ? (action="mon_site/ma_page_de_traitement.php") Ce formulaire de provenance extérieure sera-t-il traité ?

J'imagine qu'on puisse bidouiller le navigateur ou même faire son propre navigateur, et utiliser des scripts JS personnels à la place de ceux envoyés par le serveur, ça devrait être possible vu que tout celà est exécuté du côté client et qu'il n'y a aucun contrôle possible là-dessus. J'ai raison ?
Si oui : Celà est-il courant ? Celà est-il facile à réaliser ? Avez-vous des astuces ou des conseils pour gérer ces cas de figure ?

[mathieu]

Peut-on trafiquer le code AJAX ? Imaginons par exemple que mon site fasse une requète AJAX toutes les 5 secondes pour actualiser quelque chose dans la page, mais seulement 10 fois. L'utilisateur peut-il modifier ceci et faire que cette réactualisation se fasse par exemple infiniment toutes les secondes ? Il suffirait pour cela modifier légèrement le code AJAX envoyé par le serveur ... Est-ce possible ?

oui

De même peut-on trafiquer un formulaire ? Imaginons que j'ai un champ select avec 2 options de valeur 0 et 1, l'utilisateur peut-il faire en sorte que ce champ valle 33 à l'envoi ?
Dans le même ordre d'idée, peut-il aussi créer un formulaire sur son propre site pour en envoyer les données chez moi ? (action="mon_site/ma_page_de_traitement.php") Ce formulaire de provenance extérieure sera-t-il traité ?

oui

J'imagine qu'on puisse bidouiller le navigateur ou même faire son propre navigateur, et utiliser des scripts JS personnels à la place de ceux envoyés par le serveur, ça devrait être possible vu que tout celà est exécuté du côté client et qu'il n'y a aucun contrôle possible là-dessus. J'ai raison ?

oui

Celà est-il facile à réaliser ?

oui

Avez-vous des astuces ou des conseils pour gérer ces cas de figure ?

la première chose est de ne jamais faire confiance aux données envoyées par le client
par exemple :

Peut-on trafiquer le code AJAX ? Imaginons par exemple que mon site fasse une requète AJAX toutes les 5 secondes pour actualiser quelque chose dans la page, mais seulement 10 fois. L'utilisateur peut-il modifier ceci et faire que cette réactualisation se fasse par exemple infiniment toutes les secondes ? Il suffirait pour cela modifier légèrement le code AJAX envoyé par le serveur ...

là par exemple tu peux enregistrer quand ce font les différents appels et seulement autorisé les bons appels

De même peut-on trafiquer un formulaire ? Imaginons que j'ai un champ select avec 2 options de valeur 0 et 1, l'utilisateur peut-il faire en sorte que ce champ valle 33 à l'envoi ?

là par exemple il suffit de tester si la valeur reçue est 0 ou 1

[Michel_57]

je trouve ça très fastidieux ...

d'abord pour afficher le formulaire il faut faire tous les tests pour proposer les options

ensuite avec javascript il faut vérifier les données entrées pour éventuellement modifier le formulaire en direct ou afficher un message d'erreur

à la validation du formulaire il faut encore vérifier les données

et si à un moment donné on utilise ajax il faut encore une fois vérifier les données reçues et même vérifier le droit d'utiliser ajax

au final ... traîter 4 fois les données,

et sinon comment détecter si un formulaire a été envoyé depuis un site externe ? la variable globale qui donne la provenance peut également être trafiquée non ? il me semble qu'elle est envoyée par le client aussi ...

[Invité]

Bonjour,
Je vois que PHP est oublié dans ta question, et même dans les réponses
J'ais mal lue ou tu parles bien d'ajax ?
alors tu oublies deux choses

1) tu peux mettre un valeur dans un $_SESSION['code']="CMOI"; par exemple
ça personne ne le vois, et si $_SESSION['code']!="CMOI"; tu jettes.

2) l'axion AJAX n'est rien d'autre que l'envoie de POST vers un PHP par exemple a l'arrivée dans ton PHP ton POST reçoit tout les contrôles voulus ...

donc c'est un faux probléme.

Oui j'ajoutes que mon 1er) est peut fiable mais bon ...