AJAX beschränken

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • AJAX beschränken

    Hallo Forum

    Hier gehts um eine simple Meinungs- / Erfahrungsfrage.
    Auf meiner Webseite kann ein User unbegrenzt ajaxrequests losschicken, und das an mehreren Orten.
    Wird das von "Angreifern" (können auch Kiddies o.ä. sein, ist ja egal) ausgenutzt oder muss ich mir darüber keine Sorgen machen?
    Baut ihr da irgendeine Barrikade vor? Und wenn ja, welche und Server- oder Clientseitig?

    Wäre froh um ein zwei Tipps

    Danke euch und Gruss
    Onyx

  • #2
    "Unbegrenzt" bezieht sich lediglich auf die Anzahl?

    Wenn ich nen (oder hunderte) Request an deinen Server senden will, dann brauche ich dafür ja nicht deine "AJAX-Webseite" von daher würde ich das nicht als Gefahr einstufen.

    Du solltest nur eine Möglichkeit zur Steuerung/Reduzierung der "gewollten" Requests haben, aber das bezieht sich jetzt weniger auf deine Frage.

    Kommentar


    • #3
      OffTopic:
      Ich weiss nicht warum, aber ich bin grad ziemlich beeindruckt von deiner Antwort ^^
      Klar, Sachlich, Logisch und ohne überflüssige Kommentare... ich liebe dieses Forum

      Womit meine Frage schon erledigt wäre Noch zur Erläuterung: Der Request wird mit einem Buttonclick gestartet...

      Und wie stehts mit der Überwachung o.ä.? Ich könnte ja z.B. theoretisch User & IP loggen und den Apachelog auswerten, um so vielleicht User mit übermässigem AJAX-Konsum zu filtern...
      (Schon wenn ich sowas schreibe klingts komisch. Aber möchte trotzdem noch ein "Ja" oder "Nein" hören, ich trau mir in der Sache nicht zu, selbst zu entscheiden ^^)

      Gruss und danke für deine Antwort!
      Onyx

      Kommentar


      • #4
        Die IP zu loggen ist manchmal sogar aufwändiger, als wenn du die Requests einfach zulässt.
        Um zu verhindern, dass jemand, der es nicht absichtlich tu 20 AJAX-Requests startet kannst du z.B. beim Click auf den Button eine Variable testen. Wenn true, dann brich die Funktion ab, sonst löse die Funktion aus und setze die Variable auf true. Zusätzlich löst du in dieser Funktion noch ein setTimeout aus, damit die Variable nach einer bestimmten Zeit wieder auf true gesetzt wird.

        Kommentar


        • #5
          Ja, 3-4 Stück hab ich bereits so realisiert Aber das hilft halt vorallem, dass niemand "aus Versehen" zu viele Requests abschickt...

          Am besten ist es wohl, wenn ich mich für folgendes entscheide:
          Wenn sich der User einloggt logge ich einfach die IP, den Rest lass ich Apache machen, vielleicht hilft das ja mal was und gross was verlieren tu ich dabei ja nicht...

          Ich denke, damit kann ich mich zufrieden geben

          Ich danke euch beiden für die Antworten und grüsse
          Onyx

          Kommentar


          • #6
            Diese Möglichkeit von "Angriff" auf deinen Prozess, wenn du es so nennst kann jeder bei eigentlich jeder öffentlichen Seite machen. Er kann auch 1M Browser öffnen oder ein frame machen, welches die ganze Zeit aktualisiert wird. Die Sicherung mit dem IP- speichern macht also kaum Sinn ausser du würdest das aus welchem Grund auch immer bei jeder deiner Seiten machen.
            Ein AJAX Request unterscheidet sich nicht gross von einem Request, der durch deinen Browser beim Aufruf einer Seite durchgeführt wird. Du müsstest dich also sogar vor dem F5 drücken des Users absichern...

            Kommentar

            Lädt...
            X