Нужен совет по безопасности

@maxoun · Регистрация: 08.02.2018

Студворк — интернет-сервис помощи студентам

Есть страница, и страница определяет пользователя по соотвествии сессиионных данных.
JS отправляет запрос на сервер асинхронно, и если сессия есть, а именно если сессия равна идентификатору.
Если сессия совпадает сервер отправляет ответ session = 1;
И на стороне JS я вывожу если есть такой массив как session пункт параметры.

Я это делаю для того чтобы сократить время между клиентом и сервером, пожалуйста скажите безопасно ли так делать???
Асинхронно проверять соотвествует или нет?

@tarasalk · 07.12.2018, 17:00

1) Проверять надо все запросы.
2) Хз где тут ускорение: два запроса медленнее чем один.
3) Зачем фронту session = 1? Если доступа нет, то сервер должен отдать 403 и всё.

@maxoun · 07.12.2018, 17:28 **[ТС]**

Сообщение от tarasalk

2) Хз где тут ускорение: два запроса медленнее чем один.

Это один запрос , просто проверяется на лету.

Сообщение от tarasalk

3) Зачем фронту session = 1? Если доступа нет, то сервер должен отдать 403 и всё.

Нее, например пользователь зашел на страницу другого пользователя, и он не может ему написать сообщения потому что сервер отправил session = 0, а вместо этого я вывожу пройдите регистрацию типо.
А вот если server отправляет 1, то выводится написать сообщение

@tarasalk · 07.12.2018, 17:41

Сообщение от maxoun

Это один запрос , просто проверяется на лету.

1) загрузка страницы
2) ajax запрос

Сообщение от maxoun

Нее, например пользователь зашел на страницу другого пользователя, и он не может ему написать сообщения потому что сервер отправил session = 0, а вместо этого я вывожу пройдите регистрацию типо.
А вот если server отправляет 1, то выводится написать сообщение

Я вам об этом случае и говорю. Правильно это делать через http code, а у вас свой велосипед.

@maxoun · 07.12.2018, 18:06 **[ТС]**

Сообщение от tarasalk

Я вам об этом случае и говорю. Правильно это делать через http code, а у вас свой велосипед.

Например?? сможет показать пример чтобы я смог понять

@u4en1k · 07.12.2018, 18:41

Как делать действия с помощью XmlHtttpRequest?)

Добавлено через 16 секунд

@tarasalk · 07.12.2018, 19:44

PHP
1
header("HTTP/1.1 403 Forbidden" );

JavaScript
1
2
3
4
5
6
7
$.ajax({
  statusCode: {
    403: function() {
      alert( "forbiden" );
    }
  }
});

@maxoun · 08.12.2018, 16:07 **[ТС]**

tarasalk, Причем тут это???
Мы же на стороне клиента проверяем статус ,
если транзакция прошла успено 400 и если получен ответ полностью 4 , то выводим только тогда.

403 это доступ который запрещает, а зачем мне запрещать???? ведь страница то открыта для всех.

Добавлено через 2 минуты
tarasalk, Вы меня вообще не поняли, подумали что я нуб какой то и начали вещать мне что либо.

Мы на стороне клиента отправляем запрос, после чего php принимает и проверяет соотвествие и отправляет обратно ответ.
Ответ проверяется кодома HTTP , а именно первую очередь status если равен 200 то есть успешно, и если ответ полностью пришел onreadystatechange == 4 только тогда мы принимаем какие либо решения.

Ну конечно можно включить фантазию и ставить какие либо соотвествии на стороне клиента к примеру тот же самую переадресацию и т.д.
Но явно вопрос вы мой не поняли

Добавлено через 42 секунды
u4en1k, я знаю как делать действия , мне нужен был совет, у тебя не получилось блеснуть умом, + ссылка не туда!

Новые блоги и статьи Все статьи Все блоги /
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Нашел на реддите интересную статью под названием «Кто-нибудь знает, где получить бесплатный компьютер или. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .

@maxoun 21 / 44 / 11 Регистрация: 08.02.2018 Сообщений: 443

	Нужен совет по безопасности 07.12.2018, 16:30. Показов 675. Ответов 7 Метки нет (Все метки) Есть страница, и страница определяет пользователя по соотвествии сессиионных данных. JS отправляет запрос на сервер асинхронно, и если сессия есть, а именно если сессия равна идентификатору. Если сессия совпадает сервер отправляет ответ session = 1; И на стороне JS я вывожу если есть такой массив как session пункт параметры. Я это делаю для того чтобы сократить время между клиентом и сервером, пожалуйста скажите безопасно ли так делать??? Асинхронно проверять соотвествует или нет? 0

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	07.12.2018, 17:00
	1) Проверять надо все запросы. 2) Хз где тут ускорение: два запроса медленнее чем один. 3) Зачем фронту session = 1? Если доступа нет, то сервер должен отдать 403 и всё. 0

@u4en1k 133 / 118 / 34 Регистрация: 04.04.2018 Сообщений: 593
	07.12.2018, 18:41
	Как делать действия с помощью XmlHtttpRequest?) Добавлено через 16 секунд 0

@maxoun 21 / 44 / 11 Регистрация: 08.02.2018 Сообщений: 443
	08.12.2018, 16:07 [ТС]
	tarasalk, Причем тут это??? Мы же на стороне клиента проверяем статус , если транзакция прошла успено 400 и если получен ответ полностью 4 , то выводим только тогда. 403 это доступ который запрещает, а зачем мне запрещать???? ведь страница то открыта для всех. Добавлено через 2 минуты tarasalk, Вы меня вообще не поняли, подумали что я нуб какой то и начали вещать мне что либо. Мы на стороне клиента отправляем запрос, после чего php принимает и проверяет соотвествие и отправляет обратно ответ. Ответ проверяется кодома HTTP , а именно первую очередь status если равен 200 то есть успешно, и если ответ полностью пришел onreadystatechange == 4 только тогда мы принимаем какие либо решения. Ну конечно можно включить фантазию и ставить какие либо соотвествии на стороне клиента к примеру тот же самую переадресацию и т.д. Но явно вопрос вы мой не поняли Добавлено через 42 секунды u4en1k, я знаю как делать действия , мне нужен был совет, у тебя не получилось блеснуть умом, + ссылка не туда! 0