הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
10-01-09, 21:42 | # 31 |
חבר וותיק
|
חח וודאים על זה היה כל הדיון..
לשלוח REQUEST ישירות לגוגל ולפרסר את המידע שחוזר..
__________________
|
10-01-09, 21:43 | # 32 | |
חבר בקהילה
|
ציטוט:
אם אתה לא בטוח, למה אתה כותב? קודם תבדוק. אין ברירה אלה להשתמש בAPIים חיצוניים, אם עושים iframe לדומיין אחר, אנחנו לא יכולים לקבל את התוכן שלו. שבוע טוב. |
|
10-01-09, 21:47 | # 33 | |
חבר מתקדם
|
מצטער כנראה לא קראתי נכון. לא משהו שאני זורק סתם.
ציטוט:
|
|
11-01-09, 10:50 | # 34 | |
אחראי פורום תחזוק שרתים
|
ציטוט:
כמו שנאמר פה כבר, AJAX זה אוסף ספריות JS כשאתה עושה xmlHttpRequest בAJAX או בכלליות בJS, הלקוח פונה לאן שלא תפנה אותו הדבר הזה ד"א מוביל להמון סוגים של התקפות, אני יכול באמצעות קוד שאני שם אצלי באתר לגרום לכל מי שמבקר בו לפנות לאתר אחר מבלי כל התערבות שלו או שהוא רואה את זה (ולא באמצעות IFRAME), וע"י זה או לעשות משהו לטובת התוקף, או לנצל את הלקוח כקרקע להתקפה אחרת (ז"א שהלקוח יבצע התקפה על אתר אחר מבלי שהוא מודע לכך) לסיכום, כשאתם עושים בקוד שלכם JS, הוא רץ בסביבת הדפדפן, וכלום לא קורה בשרת (אלא אם הפעולה היא לפנות לשרת עצמו, כמו דפדוף בתוכן). בכל מקרה, כל בקשה שהJS ייזום, תצא עם הIP של הלקוח! שבוע טוב לכולם
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
|
11-01-09, 11:27 | # 35 | |
חבר מתקדם
|
ציטוט:
זה מביא אותי לשאלה שנשאלת, איך בידיוק אתם מבצעים פקודת AJAX לשרת חיצוני? בדרך כלל אי אפשר לבצע XHR לשרתים חיצוניים שהדומיין שלהם שונה מזה של הדומיין הנוכחי בו העמוד נמצא. אם הבקשה נשלחת לדומיין שהוא לא זהה לדומיין של העמוד שמריץ את הבקשה, סאב דומיין או פורט שונה אז הבקשה לא תשלח ותתקבל שגיאה בהתאם. לא עבדתי עם GOOGLE API אבל AJAX ישירות לשרת חיצוני עוד לא עשיתי וזה גם כנראה למה אני לא בטוח בתשובה. אשמח לדעת את הפתרון בעצמי אבל אני אצטרך לדעת איך מבצעים את הפקודות אל GOOGLE הרי שליחת בקשה של AJAX מהדומיין test.com אל something.com לא ניתן לבצע. תודה. |
|
11-01-09, 12:43 | # 36 | |
אחראי פורום תחזוק שרתים
|
ציטוט:
לא מומלץ בכלל לעשות את זה דרך הלקוח, כי אתה משתמש במזהה API יחודי לך, ואם GOOGLE רואים שהם מקבלים פניות ממלא כתובות שונות מאותו KEY הם יחסמו את המפתח הזה כאילו שהוא הודלף לאינטרנט אם אתה משתמש בAPI KEY עדיף שתעשה את זה מהשרת שלך, זה היעוד שלו מה שאי אפשר לעשות עם JS זה לדבר עם אובייקטים מאתר אחר (כמו COOKIES וכאלה), אבל בהחלט ניתן לבצע בקשות לתוכן מאתרים אחרים אפשר בקלות לעשות JS שפונה באופן לגיטימי לGOOGLE.COM ולפרסר את התוכן, אבל זה איטי ולא נוח, בשביל זה יש API שמחזיר את התוצאות במהירות בXML ונוח לעבוד איתו
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
|
11-01-09, 13:02 | # 37 |
חבר מתקדם
|
טוב, אני לא בטוח לגבי הנושא הזה ולא רוצה להגיד סתם. אני אבדוק את זה בעצמי ובכך לפחות יסדר את זה לעצמי בראש. יש לי ניסיון ב SOAP ו WEB SERVICES למיניהם. עד היום לא נתקלתי ב WEB SERVICE שנשלח ישירות מצד הלקוח לשרת החיצוני . כל בקשה עברה דרך השרת המקומי -> לחיצוני. לכן זה קצת לא מסתדר לי. בכל מקרה מה שבטוח במידה והלקוח ביצע פעולת AJAX שעוברת דרך השרת המקומי ואז לשרת החיצוני הIP שהתקבל בשרת החיצוני הוא של השרת המקומי שבצע את השליחה. (אני 99.9% בטוח בזה). בנוגע לזה שהלקוח ישלח בקשה ישירות לשרת החיצוני ללא מעבר בשרת המקומי זה כבר נושא אחר שאין לי כרגע ניסיון איתו וידע כדי לנסות ולהגיד בוודאות את הIP שנשלח. בכל מקרה בשני המקרים פרקטיקה טובה תיהיה לעבור כמובן בצד השרת ולא ישירות לשרת המרוחק בעזרת AJAX זאת גם הסיבה כנראה שלא מצאתי מידע לגבי זה כי זה פשוט לא נפוץ ולא מומלץ.
|
11-01-09, 14:38 | # 38 |
חבר מתקדם
|
לאחר כמה בדיקות, שאלות וקריאה הגעתי לעובדות הבאות:
1. ביצוע קריאה בעזרת AJAX על ידי לקוח אל קובץ שנמצא בשרת המקומי, שלאחר מכן מתחבר לשרת חיצוני ה IP שהשרת החיצוני יקבל הוא של השרת המקומי! 2. ביצוע קריאה בעזרת AJAX על ידי הלקוח אל קובץ שנמצא בשרת חיצוני ישירות כאמור יתקבל ה IP של הלקוח בשרת החיצוני. ברוב המקרים זה בלתי אפשרי כמו שציינתי למעלה כי אי אפשר לבצע קריאות XHR לדומניים מחוץ לדומיין הנוכחי (גם לא סאב דומיין) לכן זה לא כל כך אפשרי (למרות שיש דרכים לעקוף את זה כמו לדוגמא: לחץ כאן). מקווה שהמסקנות שהגעתי אליהם בדרך הארוכה יעזרו כאן למשהו. Last edited by vadimg88; 11-01-09 at 15:22.. |
11-01-09, 14:45 | # 39 | |
אחראי פורום תחזוק שרתים
|
ציטוט:
זה בידיוק מה שאמרתי
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
|
11-01-09, 15:19 | # 40 |
חבר מתקדם
|
אחלה . לא משהו אישי אבל אני תמיד מנסה לבדוק דברים בעצמי שאני לא בטוח בהם. ככה שאחר כך אני אדע שאני אומר דברים שאני יודע ובדקתי.
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|