Discussion :

[yacine.dev]

Bonjour.
Voici un problème de sécurité avec javascript. Par exemple
une fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
function modifierRDV(action,codRDV,etaRDV){
 
	dtRDVo=getObjectById("dtRDV").value;
	alert(dtRDVo);
	heurMnt=getObjectById("heurRendeVou").value;
	reqe="RDVou.do?action="+action+"&codRDV="+codRDV;
 
//fonction qui envoie et récupère les données 
 
    envoyerReq(reqe,'divRDVs',false);
 
    affichRDVs();
}

le problème est que si un utilisateur lit ce script et qu'il met dans la barre d'adresse :
nom de site web/reqe="RDVou.do?action="+action+"&codRDV="+codRDV;
le serveur va exécuter la requête.
Comment éviter d'avoir un tel scénario ?

Bref : l'utilisateur connait le chemin pour exécuter une opération qui nécessite d'avoir effectué une condition en préalable (ex : se connecter, remplir une zone de texte) mais puisque l'utilisateur connait le chemin il ne va pas remplir la zone de texte... il va essayer d'envoyer dans la barre d'adresse l'url donc interroger directement le serveur sans passer par le script.

Si vous n'avez pas compris ma question merci de le signaler.
Merci d'avance .

[SpaceFrog]

passe les données en post ...
mais ça ne resoudra pas le problème de transmission des donnés car on peut tout de même envoyer des données en post ...

Ce n'est pas au niveau javascript que cela se sécurise ...

a toi de prevoir ce que l'utilisateur peut faire et comment l'en en empecher ...
il faut tester les données coté serveur.

[yacine.dev]

Même si je fais l'envoi en post ; puisque l'envoi est à partir du script js, l'utilisateur peut les charger et connaitre les urls qui se trouvent dans mes fonctions puis utiliser ces urls .
Que dois-je faire?
Y a-t-il une possibilité d'empêcher les clients de charger les scripts js ? Sachant que j'appelle des scripts externes dans mes pages jsp ou html.
Merci d'avance

[Bovino]

Y a-t-il une possibilité d'empêcher les clients de charger les scripts js ?

Ben si tu veux que les scripts soient exécutés, il faut bien qu'ils soient chargés

[E.Bzz]

Bonjour,
tu as dû louper la dernière phrase de SpaceFrog :

il faut tester les données coté serveur.

C'était la plus importante

A+

[yacine.dev]

Bonjour,
tu as dû louper la dernière phrase de SpaceFrog :
C'était la plus importante

A+

Mais c'est très fastidieux de vérifier coté client et coté serveur.y'a pas de solution?pourrons dire que c'est l'un des défaut d'utiliser javascript?

[E.Bzz]

Mais c'est très fastidieux de vérifier coté client et coté serveur.y'a pas de solution?pourrons dire que c'est l'un des défaut d'utiliser javascript?

Pas vraiment, non.
C'est peut être toi qui te fais une mauvaise idée de Javascript

S'il n'y a qu'un seul des 2 contrôles à faire, c'est sur le serveur.

Le contrôle Javascript n'est là que pour le confort de l'utilisateur, mais ne peut (et ne doit) pas être considéré comme une sécurité.

A+

[yacine.dev]

S'il n'y a qu'un seul des 2 contrôles à faire, c'est sur le serveur.

Le contrôle Javascript n'est là que pour le confort de l'utilisateur, mais ne peut (et ne doit) pas être considéré comme une sécurité.

A+

oui j'ai compris,merci.