Как передать в js файл данные которые должны быть доступны только если ты админ?

Question

[Дмитрий Калинин]

Есть аякс запрос. Передаем Data объект. К примеру:
var Data ={
key1: val1,
key2:val2
}
При помощи php, когда шаблон обрабатывается интерпретатором, мы можем добавить условие:
<?php if($adminLogged){ ?>
Data.key3 =val3;
<?php } ?>
$.ajax({.....});
таким образом если ты не админ то ты и не знаешь какой 3й ключ может передаваться.
А как быть если js файл идет отдельно и php не обрабатывается? Передавать через глобальные переменные из базового шаблона? А как тогда их скрыть от неадминов и не дать их изменить? Или какая вообще в таких случаях наилучшая практика применяется?

Answer 1

[ThunderCat]

В приведенном примере у вас какой-то неверный подход, получается что если пользователь каким-то образом может получить 3 ключ, то может выполнять какие-то действия доступные админу. Это называется security through obscurity - защищенность через неизвестность(алгоритма работы), и является большой потенциальной дырой.

В вашем случае данные пришедшие с клиента просто должны проходить через фильтр (что является обязательным в любом случае) + на каждое действие с объектами для которых нужны права админа проверять если таковые права есть, и уже исходя из этого прерывать работу или продолжать обработку.

UPD: если ОЧЕНЬ нужно выводить в js какую-то строчку для админа, то перед загрузкой скрипта вашего аякс запроса добавьте:

<script>
<?php if($adminLogged){ ?>
let val3 = $someSecretValue;
<?php } else{?>
let val3 = false;
<?php } 
</script>

Comments

[Павло Пономаренко]

получить 3 ключ, то может выполнять какие-то действия доступные админу. Это называется security through obscurity - защищенность через неизвестность(алгоритма работы),

На самом деле фактор ключа как раз не является примером security through obscurity.

security through obscurity говорит об обрабтном - когда защита идет от неизвестности алгоритма работы и не зависит от ключа.

[Дмитрий Калинин]

давайте опустим этот момент. вопрос реализации. то что вы советуете не получится. я же написал, что сам js не обрабатывается пхп.
ну пусть я добавлю то что вы советуете в шаблон, тогда в js файле где идет аякс запрос я должен буду показать что передается еще какой то val3 и при этом если это глобальный параметр, то вы его можете через консоль легко поменять

[ThunderCat]

Павло Пономаренко, в данном случае алгоритмом можно считать само наличие третьего ключа для админа, то есть имея представление о том что нужно добавить еще 1 ключ и получить статус администратора получаем вполне перебираемую дыру, вместо проверки статуса на сервере.

[Павло Пономаренко]

ThunderCat, да, в таком плане согласен.

[Дмитрий Калинин]

что нужно добавить еще 1 ключ и получить статус администратора

ну тут вы усугубили))
ничего такого нет. параметр вообще будет со временем общедоступным, да и фильтр есть на сервере конечно, просто пока параметр нужен для обкатки только под админом)

[ThunderCat]

Дмитрий Калинин,

я должен буду показать что передается еще какой то val3 и при этом если это глобальный параметр, то вы его можете через консоль легко поменять

Именно! По этому реализация кривая. Если чуть подумать головой и вынести всю эту аякс функцию за пределы js файла (в тот кусок что я написал в апдейте) целиком то будет примерно то что вы хотели, но это принципиально кривое решение. Понимаю что лень переписывать так хорошо укладывающиеся в имеющийся код костыли, но тут уже реализация на вашей совести.

[Дмитрий Калинин]

ThunderCat, повторюсь, вы сильно усугубляете. тут параметр не дает абсолютно ничего в плане прав. он просто пока не для общественности, временно. всего то.

[ThunderCat]

Дмитрий Калинин,

ну тут вы усугубили))

я просто предположил наихудшее развитие событий изходя из здоровой программистской паранойи - "все что приходит с клиента - скорее всего ложь". То что вы указали этот параметр в контексте администратора и сокрытия от пользователей наталкивает на мысль о нарушении секурити, так что написал как вижу ситуацию.

тут параметр не дает абсолютно ничего в плане прав. он просто пока не для общественности, временно. всего то.

Ну тогда и прятать его так параноидально вроде нет смысла? Просто разнести на 2 куска кода вполне достаточно, "набигающие" хакеры ничего поломать же не смогут? А простым юзерам глубоко чхать на то как работает скрипт внутри.