Bonjour.
Voici un problème de sécurité avec javascript. Par exemple
une fonction :
le problème est que si un utilisateur lit ce script et qu'il met dans la barre d'adresse :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 function modifierRDV(action,codRDV,etaRDV){ dtRDVo=getObjectById("dtRDV").value; alert(dtRDVo); heurMnt=getObjectById("heurRendeVou").value; reqe="RDVou.do?action="+action+"&codRDV="+codRDV; //fonction qui envoie et récupère les données envoyerReq(reqe,'divRDVs',false); affichRDVs(); }
nom de site web/reqe="RDVou.do?action="+action+"&codRDV="+codRDV;
le serveur va exécuter la requête.
Comment éviter d'avoir un tel scénario ?
Bref : l'utilisateur connait le chemin pour exécuter une opération qui nécessite d'avoir effectué une condition en préalable (ex : se connecter, remplir une zone de texte) mais puisque l'utilisateur connait le chemin il ne va pas remplir la zone de texte... il va essayer d'envoyer dans la barre d'adresse l'url donc interroger directement le serveur sans passer par le script.
Si vous n'avez pas compris ma question merci de le signaler.
Merci d'avance .
Partager