Как обеспечить безопасность при работе с Ajax?

Question

[Оптимус Пьян]

Есть переключатель на странице, например такой:

При его изменении в БД должно меняться значение. Итого цепочка выходит:
Страница с переключателем -> Страница обработчик -> БД

Вопрос: Как предотвратить прямой запрос на страницу обработчика третьими лицами?
Ведь страница с переключателем имеет доступ к сессии например и может проверить её наличие и id юзера. Страница обработчика доступа к сессии не имеет. Передать CSRF-метку обработчику? С чем он её будет сравнивать? Ничего толкового в голову не приходит.

Comments

[Кирилл Жиляев]

А если страница обработчика не имеет доступ к сессии, то как вы будете проверять id?

[Оптимус Пьян]

Кирилл Жиляев: это тоже проблема решение которой я ещё не нашёл, но как ей дать доступ к сессии если посетитель туда не переходит? Хранить сессию в БД?

Answer 1

[Евгений Калибров]

Страница обработчик - это что такое?
Ваш запрос должен посылаться на сервер, который должен иметь в сессии текущего юзера, он и должен проверять права доступа.

Comments

[Оптимус Пьян]

Страница-обработчик это то куда падает POST-или GET-запрос на изменения, например:

xmlhttp.open('POST', 'http://site.com/change.php', true);

Мы же не можем из переключателя обратиться к БД напрямую...

[Евгений Калибров]

Оптимус Пьян: это и есть серверный скрипт, а не страница обработчик. Сделайте что бы запрос к скрипту не отдавал страницу, а обрабатывал этот запрос и формировал JSON в ответ. Данный скрипт должен иметь доступ к пользовательсвой сессии, почему вдруг она у вас не имееет доступа к сессии?

[Оптимус Пьян]

rework: а как он будет иметь доступ к сессии если посетитель сайта на эту страницу скрипта не переходит?

[Евгений Калибров]

Сессия - это глобальная переменная, которая доступна из любого скрипта. php.net/manual/ru/intro.session.php

[Оптимус Пьян]

rework: Суперглобальная переменная доступна из любого места одного скрипта а не из любого скрипта

[Евгений Калибров]

Оптимус Пьян: С чего вы это взяли? Где вы это прочитали? ID сессии сохраняется, обычно в куках браузера и передаётся вместе с любым запросом на сервер, по этой куки сервер восстанавливает сесиию пользователя из ЛЮБОГО скрипта.

[Оптимус Пьян]

rework: Блин страница может считать куку только когда на неё перешли. На эту страницу обработчика посетитель не попадает! На неё просто прилетает POST или GET-запрос от другой страницы

[Евгений Калибров]

Оптимус Пьян: А это с чего вы взяли? Скрипт может считать куку при любом запросе: GET, POST, PATCH, PUT и т.д. ему безразлично. По сути, когда пользователь просто открывает страницу через строку браузера, то этот тот же GET запрос, что и переданный череp AJAX (XHR)

[Кирилл Жиляев]

Оптимус Пьян: ajax отсылает данные post get и куки

[Евгений Калибров]

Кирилл Жиляев: Да, в заголовках запроса

Answer 2

[Дмитрий Дарт]

Идентификатор сессии хранится в куки, сама сессия это файл на сервере. Прежде чем писать что файл на который передаётся AJAX-запрос не увидит сессию просто попробуйте это сделать и посмотрите на var_dump хотя бы...

Answer 3

[Сергей Махленко]

Создавайте и храните токен в сессии как только пользователь вошел на сайт. После чего добавляйте ее во все формы и сравнивайте каждый раз при получении данных на сервере.

Comments

[Евгений Калибров]

)) человек думает, что у него сессии нет. А токен необязателен, у него всё в рамках одного домена, вполне достаточно ID сессии в куках, зачем городить авторизацию по токену?

[Сергей Махленко]

rework: Я вот тоже не могу понять как это нет сессий)

Answer 4

[Кирилл Жиляев]

Короче: куки передаются вместе с заголовками. Для сервера нет разницы это страница, ajax запрос или асинхронная догрузка (куки передаются всегда (я думаю вы знаете как работают куки)) Сессии, насколько мне известно хранятся в куках. Вам надо заставить ajax скрипт заставить отсылать crfs токен. Т.е. генерировать его на сервере, хранить в БД, ограничить время жизни и привязать к пользователю. Его надо передать обратно на сервер через, например, POST. Провепяете токен и куки и пишите данные в БД куда надо (или не пишите).