Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,027

HOME > Client Script Forum > อยากทราบว่าการใช้ firebug ในการแก้ไขหน้า HTML เป็นการละเมิดกฎ cross-site script รึเปล่าครับ



 

อยากทราบว่าการใช้ firebug ในการแก้ไขหน้า HTML เป็นการละเมิดกฎ cross-site script รึเปล่าครับ

 



Topic : 069979



โพสกระทู้ ( 9 )
บทความ ( 0 )



สถานะออฟไลน์




เพราะกฎของ AJAX มันมีอยู่ว่าห้ามการ request ข้าม site เนื่องจาก AJAX มันรันบนเครื่องลูกข่าย นอกจากว่าเราเขียนให้ยกเว้นการ cross site ได้เช่นพวก xml เป็นต้น

ทีนี้เรื่องมันมีอยู่ว่า หากเราแก้ไข code จากตัว firebug หน้าเพจที่เราเห็นจะเปลี่ยนไปแบบ realtime และไม่แค่นั้นมันยังใช้จริงได้อีกด้วย ผมไม่ได้พูดถึงกรณี save ไฟล์จริงๆ นะครับ แค่มันรัน code html+javascript ได้อย่างอิสระผมก็ไม่ค่อยจะเห็นด้วยแล้ว เพราะดูๆ ไปแล้วมันก็ไม่ต่างอะไรกับการ cross site เลย ไม่รู้จะออกกฎ cross site สำหรับ AJAX ออกมาทำไม ในเมื่อตอนนี้มันไม่มีประโยชน์แล้ว



Tag : HTML/CSS, Ajax







Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2011-12-07 00:18:08 By : playonline View : 1390 Reply : 4
 

 

No. 1



โพสกระทู้ ( 708 )
บทความ ( 0 )



สถานะออฟไลน์
Facebook

เดิมทีไม่มี firebug เราก็ทำแบบนั้นได้อยู่แล้วนี่ครับ ประเด็นคือ Cross-site scripting มันเป็นช่องโหว่ของ Web Application ที่ programmer อย่างเราๆ เขียนโค้ดให้เกิดช่องโหว่ขึ้นเอง ทางที่ดีในเมื่อเรารู้วิธีเข้าไป ก็จงปิดทางเข้าซะ เวลาที่เขียนโค้ดน่ะครับ






แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-07 01:18:01 By : kerb
 


 

No. 2



โพสกระทู้ ( 9 )
บทความ ( 0 )



สถานะออฟไลน์


อ่าวเหรอครับ ผมคิดว่าทำได้ตอน firebug กับพวก browser addon ที่ทำตามๆ กันมาซะอีก สรุปมันมีเครืองมือเครืองมือเปลี่ยนข้อมูลได้แบบนี้มานานแล้วใช่รึเปล่าครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-07 08:02:34 By : playonline
 

 

No. 3



โพสกระทู้ ( 9 )
บทความ ( 0 )



สถานะออฟไลน์


คือพอดีผมอยากจะทำ เฟรมเวิร์ค+CMS ที่สามารถเขียน FORM แล้วจัดการกับฐานข้อมูลได้เองโดยไม่ต้องเขียน php เพิ่มเลยน่ะครับ (เพิ่ม database เข้าไปใหม่ได้อิสระด้วยไม่ได้ fix ระบบไว้นะครับ) ความจริงในตอนแรกที่ผมเขียนผมกะให้ใช้ความสามารถนี้ได้แค่ในส่วนของ admin เท่านั้น เพราะจะมี session คุมไฟล์ระบบที่ว่านี้เอาไว้ (เป็น admin คงไม่ทำร้ายเว็บตัวเอง) แต่พอเขียนเสร็จแล้วก็มีความคิดที่จะยากจะเอามาใช้ได้กับทั้งเว็บ เพราะมันจะช่วยลดเวลาการสร้างเว็บได้มหาศาลมากๆ ผมว่าผมเขียนไว้ครอบคลุมและดีพอนะครับ ต่อไปหาตารางลูกอะไรก็ได้หมด ทุกอย่างกำหนดผ่าน class name ค่อนข้างฉลาดมากทีเดียว

อีกอย่างผมกะจะทำแจกนะครับ แต่ถ้าเป็นแบบนี้ผมคงแจกไม่ได้แล้ว เนื่องจากความไม่ปลอดภัยของมัน ถ้าหากคนเอาไปใช้แล้วไม่รู้เกิดเอาไปแก้ไม่ดีมันก็อันตรายเกินไป เพราะฉนั้นผมว่ามันไม่ผ่านในเรืองของ security สำหรับมือใหม่หรือคนที่ไม่เจนจัดใน cms ตัวนี้มากพอ ตอนแรกกะจะทำระบบสร้าง hash table เพื่อเอาไว้ใช้ยืนยันต้นทางกะปลายทางว่ามี element input ต่างๆ ที่เหมือนกัน แต่ยังไงก็ไม่รอดครับจากที่ผมคิดๆ มานะ ถ้าถอด session ออกปุ๊ปจบแน่ๆ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-07 08:16:20 By : playonline
 


 

No. 4



โพสกระทู้ ( 1,463 )
บทความ ( 1 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Blogger

มาตรการป้องกัน cross site request ก็เพื่อป้องกันผู้ใช้เว็บจากการถูกละเมิดสิทธิต่างๆ ครับ

อย่างเช่นคุณ โนบิตะเจ้าของบริษัทใหญ่ได้ login เข้าระบบธนาคารออนไลน์
ถ้า browser ไม่มีมาตรการป้องกัน cross site request ของ browser
เมื่อคุณโนบิตะเข้าเว็บ xxx.abc โปรแกรมเมอร์ของ xxx.abc จะสามารถสร้าง script ajax ธรรมดาๆ
ให้ทำการโพสข้อมูลไปยังเว็บธนาคารออนไลน์เพื่อทำการโอนเงินของคุณโนบิตะเข้าบัญชีตัวเองได้ทันทีครับ
(เนื่องจากคุณโนบิตะได้ login เว็บธนาคารแล้ว)

แต่พอมีมาตรการนี้แล้ว cross site request ทำไม่ได้
จะอนุโลมก็ต่อเมื่อมีการ request ผ่าน proxy ของเว็บ domain เดียวกันนั้นเอง
ซึ่งผ่าน proxy มันไม่มีตัวแปร session ที่คุณโนบิตะ login อยู่แล้ว ดังนั้นคุณโนบิตะจึงไม่ถูกละเมิดสิทธิครับ

simple proxy: (get content of other domain)
<?php
echo file_get_contents('http://www.example.com/example.xml');
?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-12 22:59:00 By : num
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : อยากทราบว่าการใช้ firebug ในการแก้ไขหน้า HTML เป็นการละเมิดกฎ cross-site script รึเปล่าครับ
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 04
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่