Gdybym miał użytkownika zalogowanego na mojej stronie, mając zapisany jego identyfikator $_SESSION, i ze swojej przeglądarki kliknął przycisk „Zapisz”, co spowodowałoby wysłanie żądania AJAX do serwera. Czy jego $_SESSIONi pliki cookie zostaną zachowane w tym żądaniu i czy mogę bezpiecznie polegać na tym, że identyfikator jest obecny w $_SESSION?
Odpowiedzi:
Odpowiedź brzmi tak:
Sesje są obsługiwane po stronie serwera. Jeśli chodzi o serwer, nie ma różnicy między żądaniem AJAX a zwykłym żądaniem strony. Oba są żądaniami HTTP i oba zawierają informacje o plikach cookie w nagłówku w ten sam sposób.
Ze strony klienta te same pliki cookie będą zawsze wysyłane do serwera, niezależnie od tego, czy jest to zwykłe żądanie, czy żądanie AJAX. Kod Javascript nie musi robić nic specjalnego ani nawet być tego świadomy, działa tak samo, jak w przypadku zwykłych żądań.
Warning: session_write_close(): Failed to write session data (user)Ostatnio sporadycznie otrzymuję błąd w projekcie, ale tylko wtedy, gdy żądanie AJAX ma miejsce podczas ładowania pozostałej części strony. Używam bazy danych MySQL dla danych sesji i możliwe, że żądanie strony głównej blokuje tę tabelę, uniemożliwiając dostęp do niej żądaniu AJAX.
Jeśli plik PHP żądania AJAX zawierają session_start()informacje o sesji, zostaną zachowane. (zablokowanie żądań znajduje się w tej samej domenie)
To, co naprawdę masz, to: czy pliki cookie są wysyłane z żądaniem AJAX? Zakładając, że żądanie AJAX dotyczy tej samej domeny (lub w ramach ograniczeń domeny pliku cookie), odpowiedź brzmi tak. Zatem żądania AJAX z powrotem do tego samego serwera zachowują te same informacje o sesji (zakładając, że wywoływane skrypty wysyłają sesję_start (), jak każdy inny skrypt PHP, który chce uzyskać dostęp do informacji o sesji).
Cóż, nie zawsze. Korzystając z plików cookie, jesteś dobry. Jednak pytanie „czy mogę bezpiecznie polegać na obecności identyfikatora” skłoniło mnie do rozszerzenia dyskusji o ważny punkt (głównie w celach informacyjnych, ponieważ liczba odwiedzających tę stronę wydaje się dość wysoka).
PHP można skonfigurować tak, aby utrzymywał sesje przez przepisywanie adresów URL zamiast plików cookie. ( Jak to jest dobre lub złe (<- zobacz np. Najwyższy komentarz) to osobne pytanie , teraz trzymajmy się aktualnego, z tylko jedną uwagą boczną: najważniejszy problem z sesjami opartymi na adresach URL - rażący widoczność samego identyfikatora sesji - nie jest to problem z wewnętrznymi wywołaniami Ajax; ale potem, jeśli jest włączony dla Ajax, jest włączony także dla reszty witryny, więc tam ...)
W przypadku sesji przepisywania adresów URL (bez plików cookie) wywołania Ajax muszą same zadbać o to, aby ich adresy URL żądań były odpowiednio spreparowane. (Lub możesz wdrożyć własne niestandardowe rozwiązanie. Możesz nawet uciec się do utrzymywania sesji po stronie klienta , w mniej wymagających przypadkach.) Chodzi o wyraźną ostrożność potrzebną do ciągłości sesji, jeśli nie używasz plików cookie:
Jeśli wywołania Ajax po prostu wyodrębniają adresy URL dosłownie z HTML (otrzymane z PHP), powinno to być OK, ponieważ są już ugotowane (umm, ugotowane).
Jeśli muszą samodzielnie zestawić identyfikatory URI żądań, identyfikator sesji należy dodać do adresu URL ręcznie. (Sprawdź tutaj lub źródła stron generowane przez PHP ( z włączonym przepisywaniem adresów URL ), aby zobaczyć, jak to zrobić.)
Z OWASP.org :
W efekcie aplikacja internetowa może korzystać z obu mechanizmów, plików cookie lub parametrów adresu URL, a nawet przełączać się z jednego na drugi (automatyczne przepisywanie adresu URL), jeśli spełnione są określone warunki (na przykład istnienie klientów internetowych bez obsługi plików cookie lub gdy pliki cookie nie są zaakceptowane ze względu na obawy dotyczące prywatności użytkownika).
Z postu na forum Ruby :
Podczas korzystania z php z plikami cookie, identyfikator sesji zostanie automatycznie wysłany w nagłówkach żądań, nawet w przypadku Ajax XMLHttpRequests. Jeśli używasz lub zezwalasz na sesje php oparte na adresach URL, będziesz musiał dodać identyfikator sesji do każdego adresu URL żądania Ajax.
Bardzo ważne jest, aby żądania AJAX zachowywały sesję. Najłatwiejszym przykładem jest, powiedzmy, próba wykonania żądania AJAX dla panelu administracyjnego. Oczywiście zabezpieczysz stronę, do której wysyłasz żądanie, aby nie była dostępna dla innych, którzy nie mają sesji, którą otrzymujesz po zalogowaniu administratora. Ma sens?
Jedną rzeczą, na którą należy uważać, szczególnie jeśli używasz frameworka, jest sprawdzenie, czy aplikacja odtwarza identyfikatory sesji między żądaniami - wszystko, co zależy bezpośrednio od identyfikatora sesji, spowoduje problemy, chociaż oczywiście reszta danych w sesja pozostanie nienaruszona.
Jeśli aplikacja odtwarza identyfikatory sesji w ten sposób, możesz skończyć z sytuacją, w której żądanie AJAX w efekcie unieważnia / zastępuje identyfikator sesji na stronie żądającej.
umieść swoje session () auth na wszystkich stronach serwera akceptujących żądanie ajax:
if(require_once("auth.php")) {
//run json code
}
// do nothing otherwiseto chyba jedyny sposób, w jaki kiedykolwiek to zrobiłem.
HttpOnlyflagę podczas ustawiania pliku cookie, co oznacza, że Twój Javascript nie będzie w stanie zobaczyć pliku cookie. Jednak plik cookie będzie nadal wysyłany zarówno w przypadku żądań AJAX, jak i zwykłych żądań stron i nadal będzie działał dokładnie tak samo. Twój Javascript po prostu go nie zobaczydocument.cookie.