ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
16.02.2013, 04:48
|
|
Guest
Сообщений: n/a
Провел на форуме:
3451
Репутация:
0
|
|
На развлекательном сайте pikabu.ru есть оценка постов +/-, которые содержат в себе onclick с вызовом AJAX-запроса, который выглядит так:
Код HTML:
HTML:
$.ajax({
url: 'http://pikabu.ru/ajax/dig.php',
data:{ i: id, type: Ztype },
type: 'POST',
dataType: "json",
success: function(data,code,n)
{ ... }
})
Этот AJAX отсылает id поста и его оценку в базу данных.
Я попытался со стороннего сервера выполнить аналогичный запрос, но получил статус (canceled) (Status Code:403 Forbidden). Можно ли в этой ситуации дать серверу понять, что мой AJAX-запрос является его родным и выполнить его? |
|
|
|
16.02.2013, 12:41
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Посмотри заголовки и потом шли такие же.
|
|
|
16.02.2013, 18:13
|
|
Guest
Сообщений: n/a
Провел на форуме:
3451
Репутация:
0
|
|
Сообщение от intertrey
intertrey said:
ajax запросы не разрешается выполнять с других доменов, есть способы как настроить апач и обойти данную фичу аякса
Интересно, где я могу узнать об этом больше? Что гуглить?
|
|
|
|
16.02.2013, 18:56
|
|
Познающий
Регистрация: 25.12.2009
Сообщений: 95
Провел на форуме:
750417
Репутация:
51
|
|
Сообщение от None
ajax запросы не разрешается выполнять с других доменов, есть способы как настроить апач и обойти данную фичу аякса
Лолчто простите? Просто смотрим какие заголовки посылаются через LiveHTTPHeaders, копируем в тот же curl, посылаем запрос хоть с локалхоста - все будет работать.
|
|
|
|
16.02.2013, 19:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
1717
Репутация:
1
|
|
гугли "междоменный запрос" или "cross domain ajax"
|
|
|
|
16.02.2013, 21:23
|
|
Guest
Сообщений: n/a
Провел на форуме:
3451
Репутация:
0
|
|
Сообщение от попугай
попугай said:
Посмотри заголовки и потом шли такие же.
А как быть с заголовком referer? Браузер его переписывает всегда.
|
|
|
|
16.02.2013, 22:09
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от plitka123
plitka123 said:
А как быть с заголовком referer? Браузер его переписывает всегда.
ну и ты переписывай
|
|
|
|
17.02.2013, 14:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
11466
Репутация:
3
|
|
Так в чем уязвимость?
Сообщение от None
Этот AJAX отсылает id поста и его оценку в базу данных.
Данные могут проверяться |
|
|
|
17.02.2013, 20:25
|
|
Познающий
Регистрация: 25.12.2009
Сообщений: 95
Провел на форуме:
750417
Репутация:
51
|
|
Сообщение от None
ты тоже по гугли, так не прокатит, надо пару манипуляций сделать дополнительных.
http://slyweb.ru/jquery/cross-domain-ajax/
Если бы мы подделывали запрос на яваскрипте, что уже само по себе довольно странное решени и годится только тогда, когда надо раскрутить хсс/хсрф, то да, верно. Но курл может подделать все что угодно, хоть реферер, хоть что, так что он справится с этим без проблем.
|
|
|
|
25.02.2013, 09:09
|
|
Guest
Сообщений: n/a
Провел на форуме:
3451
Репутация:
0
|
|
Сообщение от |qbz|
|qbz| said:
Если бы мы подделывали запрос на яваскрипте, что уже само по себе довольно странное решени и годится только тогда, когда надо раскрутить хсс/хсрф, то да, верно. Но курл может подделать все что угодно, хоть реферер, хоть что, так что он справится с этим без проблем.
Но ведь браузер потом переписывает referer, что бы я в курле не писал.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
