Форум

kostyanet · #11 (**permalink**) 26.05.2015, 18:00

Сообщение от KosBeg

Скрипт в любом случае исполняется на клиенте, будь-то обычный скрипт, юзерскрипт или расширение -- по-этому НИКТО не мешает модифицировать скрипт...

Вам же написали что скрипт вообще не нужен чтобы послать какие-то там данные на сервер. Нарисовал форму, вписал урл, заполнил поля и нажал кнопку. Все нах.

Или написал свой скрипт, тот нарисовал форму в своем воображении и отгрузил по указанному урлу. Ничего не надо модифицировать вообще. Хоть заобфусцируйтесь.

Шифрование? Вот и займитесь PGP. Только сразу с ФСБ договоритесь. Ихний сорм не любит когда валятся нипанятные данные.

kostyanet · #12 (**permalink**) 26.05.2015, 18:08

Как юзероскриптописатель я навидался всяких методов защиты скриптов - ничего из этого не работает. Все можно скачать и заполучить хоть через alert'ы. Это если нуна получить какие-то сведения, подделать их и отгрузить. Все получается если покопаться. Было бы зачем.

Так вот, походу сделали какую-то уродску партнерку. Сделайте как люди делают - как социал разрешает аутентификацию по своим счетам. Вы запрашиваете, вам выдают форму, юзер вводит, отгружает, _тот_ сервер проверяет и дает отмашку - проканало или не проканало. Я в этом деле не разбирался, но думаю достаточно что ваш партнер разрешит вашему домену кроссдоменный запрос.

kostyanet · #13 (**permalink**) 26.05.2015, 18:15

Сообщение от aerohotter

можно дебаггером (по F8) остановить и по одной операции отследить что грузится и куда отправляется.

Да это все в заголовках видно, ептыть. Нажал кнопку - посмотрел.

aerohotter · #14 (**permalink**) 27.05.2015, 11:54

Всем спасибо за ответы. Будем думать как переделать всю систему. Всё-таки javascript имеет недостатки связанные с защитой от модификации (никаких методов не заложено для определения сего, а может оно и не надо?).
Плюсов само собой тоже не мало - на радость серверам можно перекладывать работу на комп пользователя в некоторых случаях

kostyanet · #15 (**permalink**) 27.05.2015, 13:02

Такое понимание не редкость, в реальности все в точности наоборот. Ява-скрипт всегда выполняется локально и хтмл для программиста - единственный средство построить интерфейс. Возможность скрипта общаться с каким-то там сервером - особая и специальная и разрешается только в случае когда браузер точно знает что скрипт загружен с такого-то домена. Во всех остальных случаях, и, кстати, при локальной работе с канвасом, такие транзакции запрещены, Это абсолютно логично, если понимать что сервер - просто _другой_ компьютер, с которым не налажены отношения. Допустим если вы запустите виндовый скрипт (WScript) в локальной сети он будет пользоваться всеми теми разрешениями и политикой, которая сконфигурирована для локальной сети. А в отношении сервера из глобальной сети нет никакой другой политики кроме запрещено все что сервер не разрешил.

То есть скрипт в браузере никто и звать его никак. При чем тут средства защиты от каких-то там модификаций, если любой такой скрипт уже существует для модификации хтмля? Словом это не порок, а сущность скриптов в браузере как в программе. В любой другой которая предоставляет API для скриптов - бейсика, ява- или там епл-скрипта - эквипенисуально.

Deff · #16 (**permalink**) 28.05.2015, 12:11

aerohotter,
Разделите задачу:
1. В принципе, отправка скрытой роst-формы, сгенерённой скриптом даст Вам кук клиента.
2. Имея кук, - сервером читаем страницу

Форум

Справочник

Discord чат

Курсы javascript