[gelöst] AJAX-Aufrufe identifizieren?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [gelöst] AJAX-Aufrufe identifizieren?

    Kennt jemand einen Browserunabhängigen, serverseitigen Weg, AJAX-Aufrufe (im Unterschied zu "normalen" Browseraufrufen über die Adreßleiste) zu identifizieren?

  • #2
    Die meisten Bibliotheken senden einen X-Header mit. Prototype zum Beispiel X-Requested-With.
    [FONT="Helvetica"]twitter.com/unset[/FONT]

    Shitstorm Podcast – Wöchentliches Auskotzen

    Kommentar


    • #3
      Wenn der "Aufrufer" nicht mitspielt, dann kannst du das im PHP auch nicht feststellen. Und selbst dann kann die Angabe von einem Angreifer gefälscht sein.
      Also: Keine Chance!
      Verwende Sessions und eine Authentifizierung. Mehr geht nicht wirklich.
      Wir werden alle sterben

      Kommentar


      • #4
        Zitat von unset Beitrag anzeigen
        Die meisten Bibliotheken senden einen X-Header mit. Prototype zum Beispiel X-Requested-With.
        Das wußte ich nicht, danke. Muß mal schauen, ob meine das macht.

        Und selbst dann kann die Angabe von einem Angreifer gefälscht sein.
        Das macht nix, es geht nur um Dinge wie korrekte Ausgabeformate usw. Sicherheitsrelevant darf die Ajax-Abfrage nicht sein, das ist klar.

        Kommentar


        • #5
          hallihallo....nach langer abstinenz melde ich mich mal wieder zurück und muss diesen interessanten link ausgraben.

          wie man den ajax-call identifizieren kann, wurde hier ja bereits gezeigt. allerdings funktioniert das (zumindest mit jquery) nur für GET-requests.

          wie kann ich feststellen, ob eine POST-anfage per ajax kommt oder nicht? weiß darüber auch jemand bescheid? wäre spitze

          viele grüße
          Breezzer

          Kommentar


          • #6
            Hallo,

            das geht genauso, z. B. mit jQuery.ajax() – jQuery API

            Noch besser: versende die Daten als application/json oder application/xml, denn Browser werden es i. d. R. immer als multipart/alternative oder application/x-www-form-urlencoded schicken, was sich mit PHP leicht feststellen lässt.

            Gruß,

            Amica
            Zuletzt geändert von AmicaNoctis; 30.08.2011, 20:03.
            [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
            Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
            Super, danke!
            [/COLOR]

            Kommentar


            • #7
              gute antwort amica. vielen dank! das hilft mir natürlich schonmal weiter - eine andere möglichkeit gibt es ja wohl nicht, zumindest nicht solch eine wie für GET (also über die headerinformation...firebug zeigt zumindest für ajax-posts und "normale" posts die gleichen infos. schade)

              nochmals tausend dank!

              Kommentar


              • #8
                Zitat von Breezzer Beitrag anzeigen
                eine andere möglichkeit gibt es ja wohl nicht
                Du hattest keine Lust, die Doku zu jQuery.ajax zu lesen, hm?

                Dort steht doch beschrieben, dass man Header selber nach Belieben setzen kann …
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  oh gott (noch darf ich das sagen, mein kirchenaustritt wird erst im september offiziell... ), was habe ich denn da gemacht. ich stand gestern wohl ziemlich aufm schlauch, als ich die doku durchsucht habe...deshalb erst recht: herzlichen dank

                  Kommentar

                  Lädt...
                  X