Cuando se construye una puerta de enlace Ajax, es decir, un archivo que es invocado por el objeto XmlHTTPRequest de JavaScript, sin darse cuenta, puede crear un túnel de intrusiones no deseadas. Siendo en realidad un archivo como los otros, que se encuentra en nuestro servidor es accesible desde la barra de direcciones de su navegador.
Artículos con la etiqueta 'XMLHttpRequest'
Fragmento muy breve: ¿Cómo identificar las llamadas Ajax en PHP
Servidores de túneles y poder, y no sólo para el Ajax
Debido a su capacidad de comunicarse con el servidor, el objeto XMLHttpRequest (XHR), utilizado en la tecnología Ajax (acrónimo de Asynchronous JavaScript y XML, que debe ser pronunciado "egiacs" aunque preferimos italiano "aiacs"), ha un candado de seguridad que le impide ejecutar aplicaciones fuera del ámbito en el que opera. Esta protección es necesaria para evitar inyección de JavaScript (técnicas de "inyección" extremadamente peligroso código con el fin de romper el sistema) de diversos tipos, con el objetivo final de "break" en el sistema.
Este límite es ahora tomado en serio y que está pensando, de alguna manera, para resolverlo - directamente en el XmlHttpRequest - sin comprometer la seguridad (véase también: Tercera propuesta para las extensiones de cross-site para XMLHttpRequest ).
Sea cual sea la situación actual es la siguiente:
RESTTest: útil extensión para Firefox
Esta es una interesante extensión para Firefox ( 2.0.0.9 parche publicado hoy ), escrito por Kris Zyp. RESTTest permite enviar y recibir cheque a una dirección URL mediante el protocolo REST, elegir entre los métodos canónicos GET o POST (posiblemente modificadas) .
RESTTest puede ser utilizado para probar el objeto XmlHttpRequest y después de probar las aplicaciones que utilizan Ajax. A continuación, puede rápida y fácilmente simular peticiones XHR y las respuestas.
Esta ampliación se ha diseñado específicamente para trabajar con los recursos REST y soporta todos los métodos HTTP.
En el puesto del / PUT puede introducir todos los parámetros que estamos enviando nuestra prueba, la sintaxis estándar:
variable1 = valor1 & variable2 = valor2 &[...] variable n = n valor
Esta extensión también es útil en las pruebas de los canales RSS de un sitio o en el análisis de paramteri cualquier servicio RPC.
Reflexionando sobre Joost, Apollo y exploradores
¿Por qué cambiar a Apolo para mostrar el contenido HTML y dinámico cuando el navegador ya que permite? ¿Por qué utilizar Joost Net TV para ver si un navegador ya que permite?
¿Por qué no tiene el productor de las dos funciones de navegación sencilla dentro de ellos:
- Ventanas sin ventanas
- Objeto P2P
Ventanas sin ventanas
Esta característica simple sería sacar el máximo partido de la conexión HTTP y hacer que los navegadores realmente útil. Para abrir ventanas (pop-up en la práctica), con sólo el título y el borde no, sólo en caso de que la transparencia, aumentar la producción de aparatos para ser explotados con el navegador normal, como lo que hace ahora Apolo . Con un cuidadoso estudio sobre la seguridad (como creo que es ahora la única razón de este límite) abriría escenarios muy interesantes.
Objeto P2P
Como todos sabemos a estas alturas todos los navegadores admiten el objeto XMLHttpRequest , que ha dado lugar a un sin fin de llamadas aplicaciones Ajax. Este objeto se puede acceder a través de JavaScript, es capaz de proporcionar un canal de HTTP - paralelo - cliente de secuencias de comandos para los IINV y recepción de datos.
Tarde o temprano, según lo previsto en el blog de otros varios, Adobe introducirá un programa P2P en Flash. ¿Por qué no hacer lo mismo en el navegador? Un objeto de este tipo, junto con las características sin ventanas le permiten crear aplicaciones como Joost, sin necesidad de instalar nada en tu máquina, asegurando compatibilidad cruzada digna de la Internet, aumentando así la eficiencia de la producción (ahora Joost se desarrolla para cada sistema operacional, que es bastante pesado - en dinero y tiempo - de hecho, la versión beta seguirá ...).
RSS FEED corto ventanas con texto, audio y vídeo desde el lugar donde queremos en nuestros escritorios, en los estándares del W3C verdad. Abrir canales de TCP son directamente de JavaScript, con un sinfín de posibilidades de intercambio de datos. Es evidente que la voluntad es poca y el "crimen" es alta, hackers, spam y phishing están al acecho y los movimientos de este tipo aterrorizar a todo un poco ...
Web 2.0: Firefox 3.0 Gran Paradiso y Apolo-
Es la versión disponible en línea de Firefox 3.0 Alpha 2 , con el nombre del Gran Paradiso. Entre las características anunciadas (la versión final se espera para finales de 2007) se puede utilizar el navegador de modo off-line. Todo esto recuerda a Adobe Apollo, que, aunque no la presenta como su navegador, que evoca las características esenciales.
Web2.0: Adobe está tratando de Apolo?
Apolo es el nombre en clave (por ahora) de un ambicioso proyecto en el mundo de Adobe RIA (Rich Internet Applications) y Web 2.0, incluyendo el Ajax. Alguien recuerda Macromedia Contribute, Macromedia Central a otra persona. Hay, también, que ve en la unión de Apolo simple - o una oportunidad - para reunir los elementos de Flash y PDF (algo que ya ha sido posible con el documento de Flash)!
Ajax no HTTPRequest
Al igual que muchos desarrolladores web saben, antes de la llegada del objeto XMLHttpRequest, el problema de la carga de una página Web se resolvió con la técnica del marco oculto o IFRAME. Este sencillo truco le ha permitido a muchas personas a resolver algunos problemas de la interfaz de otro modo insolubles. Una ventaja de utilizar el marco oculto, entre otras cosas, fue la capacidad para mantener el historial del navegador! Que no permite que el objeto XMLHttpRequest.
Además de las técnicas que utilizan HTML FRAME o IFRAME oculto, es posible el uso de Flash como un sub-canal de comunicación entre la página y el servidor. Se valorará la experiencia en este sentido están todavía en desarrollo (ver por ejemplo Fjax ). La idea es "ocultar" una película Flash en la página HTML (como sucedió con el marco) y comunicarse con él a través de JavaScript (o VBScript para el medio ambiente sólo Microsoft).
Sin embargo, esta técnica una serie de trampas ocultas. En primer lugar obliga al usuario final instalar el plugin de Flash, y luego la solución no es HTML (puro) limpio. También se requiere, sin embargo, favorecen el uso de Javascript y Flash como interfaz entre la página, por lo tanto vale la pena utilizar el objeto XMLHttpRequest. Entonces, cuando usted comienza a escribir un marco en ActionScript quiere hacer todo en Flash. Aquí es que la variación en el objeto XMLHttpRequest comienza a tener sentido.
En última instancia, si no desea utilizar el objeto XMLHttpRequest, debemos confiar en la técnica ya establecida de frame oculto. Hay incluso los que utilizan sólo una técnica mixta: XMLHttpRequest + IFRAME!
Sin embargo, ahora, el Ajax (en la forma del objeto XMLHttpRequest) ha tenido tanto éxito que en el futuro será el objeto XMLHttpRequest que es apoyada por los fabricantes de navegadores mejorado (Microsoft, Mozilla, Opera, etc ...). En la práctica, XMLHttpRequest será un componente por defecto (como ya está en FireFox) dentro del navegador, accesible a través de Javascript! ¿Por qué no usarlo?
Últimos Comentarios
Simon : Se molesta perturbado de nuevo y utilizar ese espacio para estas cosas ... sin embargo, no funciona ...
Giovambattista Fazioli : @ Simon: ¿qué puede ser debido a la sintaxis que utiliza, específicamente para PHP 5 +,...
Simon : He probado la noche anterior poner todo en functions.php, formas bien, jQuery, y las fichas que jQueryUI ...
Giovambattista Fazioli : @ Simon: Yo recomiendo la limpieza de ingresar un código como el de ...
Simon : @ Giovambattista Fazioli: Gracias por su paciencia, todo está claro ... ahora me siento ahora, ...