 |
16.02.2013, 04:48
|
|
Новичок
Регистрация: 17.04.2012
Сообщений: 9
С нами:
7405526
Репутация:
0
|
|
На развлекательном сайте pikabu.ru есть оценка постов +/-, которые содержат в себе onclick с вызовом AJAX-запроса, который выглядит так:
Код HTML:
$.ajax({
url: 'http://pikabu.ru/ajax/dig.php',
data:{ i: id, type: Ztype },
type: 'POST',
dataType: "json",
success: function(data,code,n)
{ ... }
})
Этот AJAX отсылает id поста и его оценку в базу данных.
Я попытался со стороннего сервера выполнить аналогичный запрос, но получил статус (canceled) (Status Code:403 Forbidden). Можно ли в этой ситуации дать серверу понять, что мой AJAX-запрос является его родным и выполнить его? |
|
|
16.02.2013, 12:41
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Посмотри заголовки и потом шли такие же.
|
|
|
|
16.02.2013, 18:13
|
|
Новичок
Регистрация: 17.04.2012
Сообщений: 9
С нами:
7405526
Репутация:
0
|
|
Сообщение от intertrey
ajax запросы не разрешается выполнять с других доменов, есть способы как настроить апач и обойти данную фичу аякса
Интересно, где я могу узнать об этом больше? Что гуглить?
|
|
|
|
16.02.2013, 18:56
|
|
Познающий
Регистрация: 25.12.2009
Сообщений: 95
С нами:
8619861
Репутация:
51
|
|
Сообщение от None
ajax запросы не разрешается выполнять с других доменов, есть способы как настроить апач и обойти данную фичу аякса
Лолчто простите? Просто смотрим какие заголовки посылаются через LiveHTTPHeaders, копируем в тот же curl, посылаем запрос хоть с локалхоста - все будет работать.
|
|
|
|
16.02.2013, 19:01
|
|
Новичок
Регистрация: 05.02.2013
Сообщений: 9
С нами:
6982166
Репутация:
1
|
|
гугли "междоменный запрос" или "cross domain ajax"
|
|
|
|
16.02.2013, 21:23
|
|
Новичок
Регистрация: 17.04.2012
Сообщений: 9
С нами:
7405526
Репутация:
0
|
|
Сообщение от попугай
Посмотри заголовки и потом шли такие же.
А как быть с заголовком referer? Браузер его переписывает всегда.
|
|
|
|
16.02.2013, 22:09
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от plitka123
А как быть с заголовком referer? Браузер его переписывает всегда.
ну и ты переписывай
|
|
|
|
17.02.2013, 14:38
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
С нами:
7519286
Репутация:
3
|
|
Так в чем уязвимость?
Сообщение от None
Этот AJAX отсылает id поста и его оценку в базу данных.
Данные могут проверяться |
|
|
|
17.02.2013, 20:25
|
|
Познающий
Регистрация: 25.12.2009
Сообщений: 95
С нами:
8619861
Репутация:
51
|
|
Сообщение от None
ты тоже по гугли, так не прокатит, надо пару манипуляций сделать дополнительных.
http://slyweb.ru/jquery/cross-domain-ajax/
Если бы мы подделывали запрос на яваскрипте, что уже само по себе довольно странное решени и годится только тогда, когда надо раскрутить хсс/хсрф, то да, верно. Но курл может подделать все что угодно, хоть реферер, хоть что, так что он справится с этим без проблем.
|
|
|
|
25.02.2013, 09:09
|
|
Новичок
Регистрация: 17.04.2012
Сообщений: 9
С нами:
7405526
Репутация:
0
|
|
Сообщение от |qbz|
Если бы мы подделывали запрос на яваскрипте, что уже само по себе довольно странное решени и годится только тогда, когда надо раскрутить хсс/хсрф, то да, верно. Но курл может подделать все что угодно, хоть реферер, хоть что, так что он справится с этим без проблем.
Но ведь браузер потом переписывает referer, что бы я в курле не писал.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
