Discussion :

[Feng-Huang]

Bonjour,

Sois deux serveurs A et B.

Le serveur A est le miens, le B est celui d'un client.
Appeler une page P sur le serveur, déclenche l'action désirée.

Le client souhaite que l'appel se fasse non pas avec php ( avec un simple file_get_contents ) mais avec Javascript. Le problème est que si c'est en javascript, tout le monde peut voir le code et peux donc déclencher l'action en boucle très facilement.

Y a-t-il un moyen de prévenir ce genre d'abus. De prim'abord je me suis dis que c'était impossible mais Google Analytics fonctionne avec Javascript et je suppose qu'ils ont trouvé une solution.

Quelqu'un sait-il comment faire ?

[dukej]

Bonjour,

Sois deux serveurs A et B.

Le serveur A est le miens, le B est celui d'un client.
Appeler une page P sur le serveur, déclenche l'action désirée.

Le client souhaite que l'appel se fasse non pas avec php ( avec un simple file_get_contents ) mais avec Javascript. Le problème est que si c'est en javascript, tout le monde peut voir le code et peux donc déclencher l'action en boucle très facilement.

Y a-t-il un moyen de prévenir ce genre d'abus. De prim'abord je me suis dis que c'était impossible mais Google Analytics fonctionne avec Javascript et je suppose qu'ils ont trouvé une solution.

Quelqu'un sait-il comment faire ?

Ton client n'a rien compris au web dans ce cas.
En plus tu ne pourras pas récupérer une page en 'Ajax' depuis un serveur A qui se trouve sur un serveur B pour de simple raisons de sécurité. Il y a moyen de contourner ça mais bon c'est pas non plus la bonne façon de faire.

Quelle est la raison réellement valable qui fait que ton client refuse de récupérer cette page via PHP ou autre langage ?

[Feng-Huang]

Je ne connais pas exactement les motifs de sa demande en JS ; cependant je me laisse penser que c'est plus facile pour lui ( le client B c'est une structure type powerboutique ) de le revendre, dans le mesure où le JS s'intègre comme un élément graphique, alors que du PHP l'oblige à modifier ses modules.

[gwyohm]

Bonjour,

Y a-t-il un moyen de prévenir ce genre d'abus. De prim'abord je me suis dis que c'était impossible mais Google Analytics fonctionne avec Javascript et je suppose qu'ils ont trouvé une solution.

quand tu inclus un javascript (interne ou externe), rien ne t’empêche d'appeler un script php ou autre qui génère ce script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<script type="text/javascript" src="http://domaine/mon/script/javascript/par.php"></script>

à partir de là, la sécurisations est possible par exemple en passant une clé en paramètre. Cette clé peut être liée à un nom de domaine du referer. Avec un mauvais couple clé/referer et on ne fait rien.

Mais peut être que ta question porte sur d'autres points ?

[Feng-Huang]

La question se porte exactement sur ce point. Cependant le referer n'est pas fiable (modifiable par n'importe qui dans son navigateur) mais va pour l'IP

On aurait alors :

Affichage du JS, appel du script et récupération de l'IP du demandeur. Check de l'IP dans la bdd, execution ou pas de l'action.

Et ça, ce serait imparable ? Ce serait la première fois que je base une authentification sur une IP ...

Le transit est : serveur A -> serveur B -> navigateur client ?

Parce que j'étais en train de me dire que ce n'était qu'un simple GET sur le serveur, donc autant balancer une image au moins mm si le js est désactivé ça fonctionne. Mais en fait, je suis quasi certains que ce n'est pas le serveur B qui va demander le script, mais le client (d'où l'utilisation du hotlink par certaines personnes, pour sauver leur bande passante ainsi que leur espace de stockage). Mais pourtant on utilise bien des htaccess pour éviter le hotlink, c'est donc que il est possible de vérifier de quel site vient la demande. D'où mon interogation