Bonjour,
Pour le back office d'un site sur lequel je travail, j'utilise pour la première fois, des requetes xmlhttprequests.
Cela fonctionne tres bien.
Habituelement, pour les backs offices que je crée, les php nécéssaires à l'administrations du site étant appelées en include, en plus des sessions, je met un .htaccess qui restreint l'accès à ces php au localhost (soit uniquement en appel interne au serveur).
Hélas depuis l'implémentations de l'ajax pour ce backoffice, je suis confronté à 2 problemes de sécurité :
- 1 Je n'arrive pas à utiliser mes sessions créées à l'identification de l'admin pour verifier si l'utilisateur à bien le droit d'utiliser ces fichiers (en gros les sessions marche pour l'admin, mais si quelqu'un ouvre un des php nécéssaire aux requettes xmlhttprequests, il n'y a pas de vérifications, les variables de sessions n'étant pas utilisables aparement)
- 2 Les appels xmlhttprequest partant du navigateur de l'utilisateur de ce panneau d'admin, le .htaccess limitant au localhost ne fonctionne pas et bloque ce type de requetes.
Ces appels ajax sont utilisés pour :
-Listes liées
-Listes avec possibilités d'ajout
-Barres de progressions
D'ou mes questions :
Comment sécuriser (empecher l'acces direct) des fichiers php appelés par xmlhttprequest ?
Est il possible d'utiliser les séssions lors de requetes ajax ?
Et plus généralement comment sécuriser vous vos appes ajax ?
Par avance merci de votre aide.
Cordialement
William
Partager