1. Tudásbázis
  2. Modulok fejlesztése
  3. Biztonságos ajax hívások használata Drupal környezetben

Biztonságos ajax hívások használata Drupal környezetben

Beküldte Fabio - 2010. június 29. 15.54
Fabio képe

Egy modul fejlesztése közben döbbentem rá, hogy a session kezelés az ajax hívásoknál nem működik, azaz csak anonymous userként jelenik meg a drupalban a hívás.

Ezzel kapcsolatban találtam egy drupal_get_token() függvényt, ami erre lehet megoldás.

1. Szerver oldalon generálok az aktuális időpont meg valami salttal egy tokent és azt lementem egy $_SESSION változóba.

2. Ezt a tokent kiíratom a kliens oldalra, mint javascript változót:

3. Ajax hívásnál indítok paraméterként hozzácsapom a javascript változó értékét az átküldött paraméterekhez.

4. A hivott oldal először lefuttatja a drupal inicializálást, majd ellenőrzi, hogy a küldött token megtalálható-e a {sessions} tábla valamelyik rekordjában a session mezőben.
Ha igen, akkor a megadott user hívta az oldalt, különben anonymous.
A lekérdezés visszaadja a user uid-ját, aminek alapján betöltöm a user_load() fv-nyel a usert és leellenőrzöm a jogosultságait a user_access() fv-nyel.

Szerintetek működik-e?

Itt van egy kis példakód hozzá:
http://www.fzolee.hu/framework/biztonsagos_ajax_hivasok_hasznalata_drupa...

Drupal verzió: 
6.x
Fórum: 
Modulok fejlesztése
york képe

Beküldte york - 2010. június 29. 20.57

A drupal a session adatokat adatbazisban tarolja, es onnan szedi elo.
Az AJAX hivasok kiszolgalasat is a a drupal vegzi, akkor ugy mukodik, mintha egy tetszoleges oldalt toltenel le.

0
0

---
http://drupalaton.hu

Fabio képe

Beküldte Fabio - 2010. június 30. 12.21

Igen tudom, hogy a {sessions} táblában tárolja, a session-t, de valamiért az ajax hívás esetén a kiszolgáló oldalon ha a drupal rendszert inicializálom a drupal_bootstrap() függvénnyel, a $_SESSION változóban nem jelennek meg azok a változók, amely az oldal generálásakor korábban a sessionbe bekerültek.

0
0

Fábián Zoltán
www.fzolee.hu

pp képe

Beküldte pp - 2010. június 30. 12.42

próbáld ki:

  require_once './includes/bootstrap.inc';
  drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
 
  print_r($_SESSIONS);

Szerintem ott rontottad el, hogy kiadtál egy session_start() hívást az elején tök feleslegesen.
Egyébként továbbra se tartom jó ötletnek, hogy ez egy külső fájlba teszed és nem egy callback függvényt írsz rá. (lásd hozzászólásom a bejegyzéshez)

pp

0
0

Palócz István
https://palocz.hu | https://tanarurkerem.hu

Fabio képe

Beküldte Fabio - 2010. július 1. 08.02

Igaz a session_start bolondította meg. A callback függvényt is megnézem.

Fabio

0
0

Fábián Zoltán
www.fzolee.hu

alippai képe

Beküldte alippai - 2010. július 1. 10.48

http://benbuckman.net/tech/10/06/drupal-fix-ajax-and-secure-pages

0
0

Lippai Ádám
young element