問題タブ [ajax]

特定のページへの特定の ajax 呼び出しが認証されたユーザーからのみ受け入れられるようにするためのベスト プラクティスは何ですか?

例えば：

blog.phpという名前のメイン ページがあるとします(創造性は豊富です)。また、パラメーターpost_idを探してデータベースからエントリを削除するdelete.phpというページがあるとします。

この非常に不自然な例では、blog.php に何らかのメカニズムがあり、ajax 経由でリクエストを delete.php に送信してエントリを削除します。

これで、このメカニズムは blog.php で認証されたユーザーのみが利用できるようになります。しかし、大量の乱数を指定して delete.php を呼び出し、サイト内のすべてを削除するのを誰かが止めるにはどうすればよいでしょうか?

blog.php でセッション変数を設定する簡単なテストを行い、delete.php への ajax 呼び出しを行って、セッション変数が設定されているかどうか(設定されていない)を返しました。

この種のことを処理するための受け入れられた方法は何ですか?

わかった。初めてこれを試したとき、私は頭がおかしくなったに違いありません。

上記のような別のテストを行ったところ、完全に機能しました。

ASP.NET Ajax コントロール ツールキットが ASP.NET 開発者に提供する使いやすさが気に入っています。ただし、それがスケーラブルなソリューションであるとはまったく思いませんでした。2 つの日付入力フィールドがあるページがあります。日付フィールドごとに TextBox とそれに接続された CalendarExtendar コントロールを配置することで、/ScriptResource.axd?d=xxxx への外部 Javascript 呼び出しをいくつか (実際には 11 回) 取得します。

これを制御する方法はありますか？なぜそんなに吸うのですか？よりスケーラブルで、簡単で、完全にカスタマイズ可能な同等の (またはより優れた) 機能セットを提供できる、より優れた .NET 用の Ajax ツールキットは何ですか? ここで車輪を再発明するつもりはありません。

アプリを構築している場合、リクエストを計画していなくても、リクエスト/レスポンスAJA~Xyを使用することの欠点はありますか?JSONPcross-domain

私が考えることができる唯一のことは、コールバックラッパー用に余分なバイトがいくつかあるということです...

編集：

これは、潜在的な問題としても示唆されていることがわかりましたsecurity and error handling...

エラー処理はありません。どちらかが機能するscript injectionか、機能しません。からエラーが発生した場合injection、ページにヒットし、ウィンドウ全体のエラー ハンドラー (悪い、悪い、非常に悪い) が不足している場合は、戻り値が で有効であることを確認する必要がありますserver side。

大した問題ではないと思いますerror handling...私たちのほとんどは、ライブラリを使用して生成しJSONます...私の応答の整形式は、この質問の懸念事項ではありません。

およびセキュリティ:

server sideWeb 上に参考になるドキュメントがありますが、簡単なチェックとして、スクリプト内のリファラーをチェックします。

これは、あらゆるタイプの応答で潜在的な問題のようです...確かにJSONP、セキュリティ分野に固有のものは何もありません...?

もちろん私はAjaxを知っていますが、Ajaxの問題は、ブラウザーがサーバーを頻繁にポーリングして、新しいデータがあるかどうかを確認する必要があることです。これにより、サーバーの負荷が増加します。

サーバーを頻繁にポーリングする以外に、（Ajaxを使用しても）より良い方法はありますか？

Ajax呼び出しを介してリモートサーバーからオブジェクトを取得するスクリプトがあります。サーバーはJSON表記でオブジェクトを返します。

ただし、Adobe AIRでは、セキュリティ上の理由からeval（）の使用に制限があります。そのため、リモートサーバーから応答を取得することはできますが、JavaScriptオブジェクトに戻すことはできません。この問題の回避策はありますか？JavaScriptオブジェクトにはJSONを使用したいと思います。これは、ほとんどすぐに使用できるためです。

補足：問題を強制することによるセキュリティへの影響は理解していますが、競争のために迅速なアプリケーション開発を行うため、プログラムは簡単なプロトタイプにすぎず、本番目的には使用されません。それにもかかわらず、私が今やろうとしていることに代わるより良い代替案があれば素晴らしいでしょう

アップデート：

Theoとjsightの回答に感謝します。

今日学んだ重要なことの1つは、ActionScriptライブラリを実際に使用できることです。

(おそらく) からデータを返す正しい方法を探していますXmlHttpRequest。私が見るオプションは次のとおりです。

• プレーン HTML。リクエストでデータをフォーマットし、使用可能なフォーマットで返します。
  利点: 呼び出しページで簡単に使用できます。
  短所: 非常に厳格で、固定されたレイアウトに固執します。

• XML . リクエストが XML を返すようにし、呼び出しページで XSLT を使用してフォーマットします。
  利点: 要求されたサービスは、他のソースによって簡単に消費されます。
  欠点: XSLT に対するブラウザーのサポートは十分ですか?

• ジェイソン。リクエストが JSON を返すようにし、javascript を使用してそれを消費し、それに応じて HTML をレンダリングします。
  利点: リクエストを行う JavaScript を「OO 化」するのが簡単です。
  短所: 前の 2 つのオプションほど使いにくい可能性があります。

また、呼び出されたサービスのビュー ロジックを抽象化しながら、さまざまなレイアウトの切り替えが簡単になるように、オプション 1 を選択することも考えました。個人的には、互換性の理由から、このオプションが 3 つの中で最適だと思います。

これを入力している間、私は別の洞察を得ました。リクエストに追加されたパラメータに基づいて、3 つのレスポンス形式すべてを許可するのは良い考えでしょうか?

大量の jQuery (約 2000 行) を含むページがあり、これを削減する必要があります。これはメンテナンスの悪夢であり、サーバーでのメンテナンスが容易になる可能性があります。これには UpdatePanel を使用することを検討しました。ただし、UpdatePanel がページ全体をサーバーに送り返すという事実は好ましくありません。

タイトルにあるように、ajax呼び出しにタイムアウトコールバックハンドラーがあり、その条件をテストできるようにしたいのですが、アプリケーションを強制的にその状態にする方法についてすぐに何も思い浮かびません。何か提案はありますか？

私はC/C++プロのプログラマーですが、を使用していくつかの個人用Webサイトを作成しましたPHP and MySQL。

それらはかなり基本的なものであり、私はそれらを使用してジャズを作りたいのですAjaxが、私はAjaxを実行したことがありません。私はこれまですべての開発を手動で行ってきました。つまり、IDEなどはありません。

誰かが私を助けることができるAjax開発環境についての提案がありますか？

これに最小限の金額以上を費やすことを正当化するのは難しいと思うので、シェアウェアまたはフリーウェアが望ましいでしょう...

私の Web アプリでは、jQuery の$.getJSON()メソッドを使用していくつかのフォーム フィールドを送信します。エンコーディングに問題があります。私のアプリの文字セットは ですがcharset=ISO-8859-1、これらのフィールドは で送信されていると思いますUTF-8。

$.getJSON通話で使用されるエンコードを設定するにはどうすればよいですか?