Discussion :

[Sayrus]

Hello,

Je souhaiterais votre aide pour obtenir des éclaircissements pour ce que j'aimerais faire.

En fait, j'aimerais qu'une page puisse faire un appel à un ou plusieurs serveur(s) Rest sur des urls différentes: www.siteA.com, www.siteB.com, www.siteC.com, etc.

Je suis par exemple siteA.com, et je souhaiterais faire une requête Ajax en parallèle sur siteB.com et siteC.com afin d'obtenir un retour Json de chacun d'eux.

Jusque là, pas de problème sauf que l'url que j'appel en ajax apparait en clair dans la page html. Mon souhait serait évidement que cette info n'apparaisse pas.

Je pense que c'est impossible de faire ce que je veux faire ou je me trompe?


Pour résumer, faire un appel Ajax sans que l'url d'appel ne soit visible par un humain dans le code source.

Merci de votre aide!

[SylvainPV]

Effectivement c'est impossible, un humain pourra toujours savoir quelle est l'adresse de destination d'un appel de sa part, AJAX ou pas. C'est quand même un principe de base de sécurité et de transparence de savoir avec qui on communique.

Le seul autre moyen est de passer par un serveur passerelle (généralement ton serveur web) qui lui fait la requête sur les services extérieurs.

[Sayrus]

J'y avais pensé, et c'est ce que je comptais faire à la base.

Mais si je passe par un serveur passerelle, ce sera beaucoup plus lent.

Je devrais appeler des dizaines de serveurs à la fois, et avec le serveur passerelle, je devrais executer tout d'une fois via cURL par exemple et je ne pourrais executer des requêtes ajax. Ici l'avantage était de faire des dizaines de requêtes asynchrones sur les serveurs en questions en ajax, de manière à ne pas surcharger un seul serveur et surtout de manière à toujours pouvoir travailler en attendant le résultat.

[thelvin]

S'il ne s'agit que de code source, tu peux toujours chiffrer les URL bien sûr, mais bon ça vaut peau de balle. Quelqu'un qui sait demander le code source saura aussi demander à son navigateur à quelles URL il se connecte.

Sinon rien n'empêche de paralléliser les requêtes mêmes si elles sont toutes faites sur le même serveur : ils sont faits pour bosser en parallèle, pas en séquence. Par contre il reste le problème de la charge.

Enfin rien n'empêche de mettre des genres de proxy devant serverB et serverC, de sorte que les URL qu'on appelle dessus soient inoffensives, et que le proxy se charge de faire les vrais appels à serverB et serverC, ceux qui doivent être protégés.

[Sayrus]

Ou alors, il faut que je regarde si je peux appeler l'URL Rest de chaque serveur non pas avec www.monsiteX.com, mais avec l'ip...

Je dois me renseigner pour voir si c'est envisageable, mais ce genre de protection me suffira largement pour ce que je veux faire.

[SylvainPV]

Même en passant l'IP l'utilisation d'un reverse DNS est enfantine