Задать вопрос

Можно ли считывать xml файл с разных доменов/директорий?

Мой коллега, "программист", брызжа слюной пытается мне доказать, что небезопасно считывать со своего сайта и обратывать xml файл находящийся на другом своем сайте.
Оба сайта находятся на одном фтп аккаунте на одном хостинге.
Файл xml находится на сайте 1 в папке xml, а выводится информация из него на сайте 2.
Файл открыт только для чтения с правами 644
"программист" пишет мне:
Злоумышленники получат доступ к файлу и тебе могут тогда подсунуть скриптик который подставит твоих пользователей. Решить эту проблему можно таким образом: xml файл переместить на тот сайт где и выводится информация.

Как он получит доступ к файлу, если у него нету доступа к фтп и админке сайта? В таком случае можно в любой js, php файл подсунуть скриптик. Каким образом считывается файл и выводится это другой вопрос, тут уже вопрос на профессинализм (валидация xml и прочее).
Он прав насчет переноса файла? Я если честно долго смеялся
  • Вопрос задан
  • 554 просмотра
Подписаться 2 Оценить Комментировать
Решения вопроса 1
opium
@opium
Просто люблю качественно работать
Смеемся вместе
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
@Barmunk
если 2 сайта пытаются общаться с одним файлом, то логично его вынести за пределы public зон и там с ним работать. php отлично умеет работать в рамках своего рабочего каталога. Можно вообще все это завернуть в апи на третьем домене и отдавать json. Но сама идея когда один сайт обращается к другому опасна их связанностью, а не взломами.
Ответ написан
Комментировать
secsite
@secsite
Безопасные и быстрые сайты
Твой коллега прав. Речь о разновидности XSS-дыры.
А ты смеёшься по глупости, даже не понимая, что права они ЛОКАЛЬНЫЕ и роли вообще не играют, если на него есть права вебсерера. Проще говоря если пхп-скрипт имеет доступ (должен что-то с ним делать), то это уже всё, достаточно.
Ответ написан
knetesin
@knetesin
Шпион
Перемещение файла однозначно ничем не поможет. если получить доступ к 1 то можно и получить доступ ко 2. Тем более в этом случае разумнее будет внедрить код в содержимое исполняемых файлов, а не в xml.

Зависит от того где получается на клиенте / сервере, какие операции над файлом, но вообще следует всегда валидировать содержимое(не доверять источнику) приводить к типу, фильтровать на потенциальные xss. зависит от использования данные.
Ответ написан
Комментировать
@troid Автор вопроса
Я конечно извиняюсь за такой глупый вопрос, но это единственное место, где ему могут авторитетно ответить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы