Ao construir um gateway Ajax, ou seja, um arquivo que é chamado pelo objeto XmlHTTPRequest JavaScript, você pode inadvertidamente criar um túnel para a intrusão indesejável. De fato, ser um arquivo, como os outros, localizados em nosso servidor é acessível a partir da barra de endereços do seu navegador.
Artigos com a tag 'XMLHttpRequest'
Muito curto trecho: como identificar chamadas Ajax em PHP
Servidores de tunelamento e proxy, e não apenas para Ajax
Devido à sua capacidade de se comunicar com o servidor, o objeto XMLHttpRequest (XHR), utilizado na tecnologia Ajax (sigla para Asynchronous JavaScript e XML, o que deve ser pronunciado "egiacs" Mesmo que os italianos preferem "aiacs"), tem uma trava de segurança que impede a execução de aplicações fora do domínio em que opera. Essa proteção é necessária para evitar Javascript Injection (técnicas de "injeção" código extremamente perigoso, a fim de quebrar o sistema) de vários tipos, com o objectivo último de "break" no sistema.
Agora este limite é levado em consideração séria e você está pensando, de alguma forma, para resolvê-lo - objeto XMLHttpRequest diretamente - sem comprometer a segurança (veja também: terceira proposta de cross-site extensões para XMLHttpRequest ).
No entanto, a situação actual é como se segue:
RESTTest: útil extensão para o Firefox
Aqui é uma extensão interessante para FireFox ( 2.0.0.9 patch lançado hoje ), escrita por Kris Zyp. RESTTest permite enviar e receber cheque para uma URL usando o protocolo REST, escolha entre os métodos canônicos GET ou POST (possivelmente personalizada) .
RESTTest pode ser usado para testar o objeto XmlHttpRequest e, em seguida, para testar as aplicações que utilizam Ajax. Podemos, em seguida, rapidamente e facilmente simular pedidos XHR e respostas.
Esta extensão é projetado especificamente para trabalhar com recursos REST e apoiar todos os métodos HTTP.
No campo POST / PUT pode entrar em todos os parâmetros que estamos enviando para a nossa página de teste, a sintaxe padrão:
variavel1 = valor1 & variavel2 = valor2 & [...] valor da variável n = n
Esta extensão também é útil para testar os feeds RSS de um site ou na análise de paramteri qualquer serviço RPC.
Refletindo sobre o Joost, Apollo e Navegadores
Por que ir a Apollo para exibir o conteúdo HTML e dinâmica quando um navegador já permite isso? Por que usar o Joost TV Net para ver se um browser já permite isso?
Como o navegador produtor não ter adicionado duas funções simples dentro deles:
- Janelas sem janelas
- Objeto P2P
Janelas sem janelas
Este recurso simples seria aproveitar ao máximo a conexão HTTP e torná-lo navegadores realmente úteis. Para abrir janelas (pop-up na prática) com apenas o título e sem arestas, se alguma coisa, de transparência, aumentar a produção de widgets para serem explorados com o navegador normal, como o que agora é Apollo . Com um cuidadoso estudo sobre a segurança (como eu acho que agora é a única razão para esse limite) iria abrir cenários muito interessantes.
Objeto P2P
Como todos nós sabemos até agora todos os navegadores supportono o objeto XMLHttpRequest , que deu origem a uma quantidade infinita de aplicações chamadas Ajax. Este objeto, utilizável através de Javascript, é capaz de fornecer um canal HTTP - paralelo - cliente programável, tanto para o ìinvio que, para a recepção de dados.
Mais cedo ou mais tarde, como previsto no blog vários outros, a Adobe irá inserir um P2P em Flash. Por que não fazer a mesma coisa no navegador? Um objeto deste tipo combinado com recursos de janelas permitem que você crie aplicativos como o Joost, sem instalar nada em sua máquina, garantindo compatibilidade cruzada digna da Internet, aumentando assim a eficiência da produção (agora Joost é desenvolvido para cada sistema operacional, que é muito pesado - tanto em tempo e dinheiro - na verdade, a versão beta vai seguir ...).
Nas janelas curtas com RSS áudio ALIMENTAÇÃO, texto e vídeo para ser colocado onde queremos em nossos desktops, em padrões W3C verdadeiros. Abertura é canais TCP diretamente de Javascript, com a possibilidade de troca de dados sem fim. Claramente, a intenção é pequeno eo "crime" é alta, hackers, spam e phishing estão à espreita e movimentos deste tipo aterrorizar um pouco 'tudo ...
Web2.0: Firefox 3.0 Gran Paradiso e Apollo
É a versão on-line disponível do Firefox 3.0 Alpha 2 , de codinome Gran Paradiso. Entre as características anunciadas (a versão final é esperada no final de 2007), podemos usar o navegador em modo offline. Tudo isso lembra Adobe Apollo , que, apesar de não apresentar-se como o navegador, ele evoca as características essenciais.
Web2.0: Adobe está tentando Apollo?
Apollo é o nome de código (por agora) de um projecto ambicioso no mundo para o Adobe RIA (Rich Internet Applications) e Web 2.0, incluindo Ajax. Alguém se lembra Macromedia Contribute, Macromedia Central para outra pessoa. Há, também, que vê em Apollo união simples - ou oportunidade - reunir elementos de Flash e PDF (algo que já foi possível com o Flash Paper)!
Ajax sem HTTPRequest
Como muitos desenvolvedores da Web sabe, antes do advento do objeto XMLHttpRequest, o problema da recarga de uma página Web foi resolvido com a técnica do frame escondido ou IFRAME. Este truque simples para muitos anos estão autorizados a resolver alguns problemas intratáveis de outra forma de interface. Uma vantagem no uso de frame escondido, entre outras coisas, era a possibilidade de manter o navegador HISTÓRIA! O que não permite que o objeto XMLHttpRequest.
Além das técnicas que utilizam HTML FRAME ou IFRAME oculto, é possível usar o Flash como um canal de sub-de comunicação entre a página eo servidor. Alguma experiência nesse sentido estão atualmente em desenvolvimento (ver, por exemplo Fjax ). A idéia é "esconder" um filme do Flash na página HTML (como aconteceu com FRAME) e se comunicar com ele via JavaScript (ou VBScript para ambiente Microsoft só).
No entanto, esta técnica um número de armadilhas ocultas. Primeira de todas as forças o usuário final para instalar o plugin do Flash, e, portanto, não representa uma solução HTML (puro) limpo. Também requer, no entanto, solicitado o uso de Javascript e Flash como interface entre a página, tanto vale a pena usar o objeto XMLHttpRequest. Então, quando você começar a escrever um quadro no ActionScript quer fazer tudo em Flash. Aqui é a variante que o objeto XMLHttpRequest começa a fazer pouco sentido.
Em última análise, se você não quiser usar o objeto XMLHttpRequest, que deve contar com a técnica já estabelecida de frame escondido. Há ainda aqueles que usam apenas uma técnica mista: XMLHttpRequest + IFRAME!
No entanto, agora, Ajax (XMLHttpRequest objeto em forma) tem se mostrado tão bem-sucedido que, no futuro, o objeto XMLHttpRequest que será apoiada por fabricantes de navegadores melhores (Microsoft, Mozilla, Opera, etc ...). Na prática, XMLHttpRequest será um componente padrão (como já acontece no Firefox) dentro do seu navegador, acessível através de Javascript! Então por que não usá-lo?
Últimos Comentários
simone : bom e claro! Parabéns e obrigado, um cumprimento
Giovambattista Fazioli : @ Vik: validação é sempre uma questão difícil de gerir, como deveria ...
vik : Usuários campos personalizados parece interessante, deve ser adicionada a capacidade de validar o campo com base em ...
kOoLiNuS : @ Giovambattista Fazioli: obrigado! mais do que dispostos!
Giovambattista Fazioli : @ kOoLiNuS: Calmo, provavelmente você pode antecipar que WPX Cleanfix será livre, e ...