Discussion :

[Ekinoks]

Salut ! ^^

Je me pose une question concernant la sécurité avec AJAX...

Lorsque l'on utilise "XMLHttpRequest", et que l'on fait un send(arg) en utilisant la méthode "POST", es que le client à la possibilité de modifier les arguments envoyé par send ?

Et de manière plus général, es qu'une personne peu créé artificiellement des arguments "POST" à envoyer à une page web ?

Merci pour votre aide.

[grunk]

Salut ! ^^

Je me pose une question concernant la sécurité avec AJAX...

Lorsque l'on utilise "XMLHttpRequest", et que l'on fait un send(arg) en utilisant la méthode "POST", es que le client à la possibilité de modifier les arguments envoyé par send ?

Et de manière plus général, es qu'une personne peu créé artificiellement des arguments "POST" à envoyer à une page web ?

Merci pour votre aide.

Comme pour toute page web recevant des données , un utilisateur peut générer une entête HTTP avec les données qu'il souhaite et les envoyer. Il faut donc limiter le plus possible cette possibilité.

Le must étant un système de ticket entre page émétrice et réceptrice afin d'être absolument sûr que personne ne s'est substituer à la page

[Ekinoks]

Merci pour ta réponse grunk =)

Comme pour toute page web recevant des données , un utilisateur peut générer une entête HTTP avec les données qu'il souhaite et les envoyer. Il faut donc limiter le plus possible cette possibilité.

Ok, donc en fait, le fait d'utiliser "POST" à la place de "GET", ne rajoute pas une grande sécurité supplémentaire...

C'est plutôt a nous de faire en sorte que quelque soit les valeur envoyer, cela ne puisse pas endommager la base de donnée.

Le must étant un système de ticket entre page émétrice et réceptrice afin d'être absolument sûr que personne ne s'est substituer à la page

Effectivement, ça rajoute une sécurité supplémentaire, mais on peu imaginer qu'une personne mal intentionnée puisse se connecte sur la page émettrice, récupérer le "ticket" et faire appelle à la page réceptrice avec ce "ticket" et ses propres valeur de formulaire non ?

[grunk]

Effectivement, ça rajoute une sécurité supplémentaire, mais on peu imaginer qu'une personne mal intentionnée puisse se connecte sur la page émettrice, récupérer le "ticket" et faire appelle à la page réceptrice avec ce "ticket" et ses propres valeur de formulaire non ?

En effet oui c'est une solution qui est envisageable.
Mais techniquement si tu vérifie correctement les données recu il n'ya aucun risque puisque au pire des cas l'utilisateur ne passant pas par ta page émétrice se fera refouler car il tente d'envoyer des données innadapté (chaine à la place d'un int attendu par exemple).

Après si un utilisateur préfère avoir un formulaire à lui pour utiliser ton site tu ne peut pas l'en empécher (ou alors peut être via des directives apache)

[Ekinoks]

Ok, il faut que je vérifie correctement les données reçu pour pas laisser des trous de sécurité alors ^^

Merci beaucoup pour tes explications grunk ! =)