|
אני אשתדל להסביר. מפה תיאלץ להיות לבד.
המנגנון עובד על זה ששני גופים כביכול זרים אחד לשני- לצורך ענייננו, עמוד באתר שמשתמש בAjax והשרת שלך - מתקשרים בניהם ונדרשת הוכחה שגוף א' אמין כלפי גוף ב'.
ההנחה של מנגנון זה היא שהמידע שזורם מגוף א' לגוף ב' לצורך ההוכחה אינו סודי: אם היית רוצה להשתמש במפתח מסויים על מנת להוכיח זהות, היית שולח "ajax=valid" כפרמטר GET - צופה "צד שלישי" (גולש באתר, לדוגמא) היה יכול בקלות לעלות על זה ולזייף את זה.
עכשיו המטרה היא להוכיח זהות, אבל לא לשלוח מידע קבוע. איך אפשר לעשות את זה? לדוגמא, לשמור בשרת מספר תווים רנדומליים (md5(mt_rand()), לדוגמא) ולהאמין רק לזהות ששולחת את המחרוזת הזאת ב-GET. אחרי השימוש במחרוזת - חשוב להשמיד אותה כך שלא יתכן שימוש חוזר.
מקווה שהבנת.
|
03-03-11, 14:04
תצורה משולבת
