Discussion :

[chagam]

Hello,

Je bosse sur un site qui utilise pas mal l'ajax (xmlhttprequest). J'ai donc un fichier index.php et en js (avec jquery), j'appelle une autre page du type ajax.php en fonction de certaines actions sur index.php.

Je voudrai empecher un utilisateur malicieux qu'il n'ecrive une moulinette qui va appeler directement ajax.php avec tous les parametres possibles. Ce qui lui donnerait l'ensemble des informations du site d'un coup.

qq1 a une idée de comment realiser ca ?

merci d'avance

Chag

[Kabanon]

Salut,

une technique existe pour empêcher les sites malicieux de te "voler" tes images ou autres fichiers grâce au fichier .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?mon-domaine.com(/)?.*$ [NC]
RewriteRule .*.(gif|png|jpg|jpeg)$ http://www.mon-domaine.com/voleur.jpg [R,NC]

Celà peut te donner une piste de départ. Il ne reste plus qu'a changer la règle de réécriture.

[chagam]

hello,

oui mais non. j'ai bien essayé cette solution mais si j'ai bien compris, mon fichier ajax etant appelé par mon fichier php, si je bloque l'acces avec cette methode, j'en bloque completement l'acces. en interne comme depuis l'exterieur.

ou alors j'ai pas compris comment il faut faire. Ce qui est possible egalement.

Chag

[_Mac_]

Non, le fichier Ajax n'est pas appelé par le fichier PHP mais par le navigateur. L'idée de ce que propose Kabanon c'est que le navigateur, quand il va faire la requête Ajax, va indiquer un en-tête Referer qui sera l'URL de la page en cours (en gros, ton script PHP), mais ce n'est pas garanti. Il faut donc tester en donnant les bonnes valeurs pour le Referer attendu.

[fourchette]

une idée en l'air

les sessions php

dans ton php:

dans index.php, tu ouvres une session coté server

dans ajax.php, tu réouvres la session créée dans index.php
si les éléments que tu as mis dans la session pdt index.php n'y sont plus dans ajax.php => c'est pas bon, tu fais un die() et basta

cela dit. ca reste qqch qui est géré au niveau de php. Je suis d'accord ce que ca serait + efficace de faire ca avant, cad coté apache

[Tchupacabra]

je confirme : l'utilisation d'une session (avec autres vérifications complémentaires) est la seule solution a peu près fiable (rien n'est totalement sécurisé en informatique) car il est "très" facile de créer de toute pièce une requête HTTP trompant le test sur le REFERER par exemple...

@+