Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
25.08.2009, 14:46
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
Здравствуйте, проблема вот какая: хочу запретить пользователям редактировать вручную URL. Вернее пусть редактируют, но чтобы на страницу при этом не переходило. По идее это делается выставлением для страницы Page Access Protection в Arguments Must Have Checksum или No Arguments Allowed. Но проблема в том, что у меня используется в некоторых случаях javascript для открытия всплывающих окон и URL там содержит REQUEST. как выкрутиться в данном случае? REQUEST введён, т.к. при загрузке окна необходимо сбросить кэш страницы, а на странице есть сабмиты при которых кэш сбрасывать не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.08.2009, 15:25
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
а и ещё используются деревья очень часто, там в линк прописаны и параметры в том числе... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.08.2009, 19:59
|
|||
|---|---|---|---|
|
|||
URL security |
|||
|
#18+
APEX_UTIL.PREPARE_URL умеет добавлять параметр cs к урлу. Может то? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.08.2009, 10:14
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
kvad, о! Спасибо, очень похоже на то, что надо. Проблема с деревьями решилась сразу же. Осталось скрипты переделать...Либо через HTP.p сейчас их сделаю, либо для начала перепишу вызов без реквеста, мысли вчера появились как это сделать... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.08.2009, 11:06
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
да, пока что монстрик какой-то получается...в этом-то приложении безопасность не очень важна, а вот как дальше делать надо думать... пока получается следующее-везде стоит контрольная сумма, но в бранчах ещё выбрано save state before branching таким образом не выводятся параметры в URL. однако в переходах через деревья параметры в URL всё-таки попадают... вопрос достаточно общий, что посоветуете учитывать/использовать при написании приложения у которого требования к безопасности достаточно высокие? Если я правильно понимаю, с точки зрения безопасности стоит избегать всплывающих окон, переходов по url в скриптах. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.08.2009, 12:02
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
heavyside, для начала прочитать и сделать весь этот пример , чтобы каждый пользователь видел то, что ему положено. Переменные можно устанавливать на уровне сессии . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.08.2009, 12:29
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
suPPLer, ну так, чтобы каждый пользователь видел только то, что ему положено сделали. Иначе, так что большое спасибо за примеры, поизучаю, может действительно проще будет так. Просто мы используем аутентификацию на основе аккаунта БД, создали таблицу разделов, действий, ролей, всё это увязали с пользователями и добавили в условия отображения проверку прав. переменные устанавливать на уровне сессии- да, до меня дошло это после написания поста...тем более что в основном я так и делаю, а в URL прописывал только реквесты и очистку страницы... Сейчас наткнулся ещё на такой прикол: Есть Link Column ведущая на другую страницу. передаётся 2 параметра, но из-за того, что в значениях могут использоваться запятые параметры передаются с экранирующими символами: /#RN#/ . Но в таком виде контрольная сумма не сходится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.08.2009, 12:46
|
|||
|---|---|---|---|
URL security |
|||
|
#18+
heavysideЕсть Link Column ведущая на другую страницу. передаётся 2 параметра, но из-за того, что в значениях могут использоваться запятые параметры передаются с экранирующими символами: /#RN#/ . Но в таком виде контрольная сумма не сходится. Link Column -> URL = "your_JS_function_with_redirect()". В функции устанавливаете параметры и переходите на нужную страницу, используя redirect(). Собссна, я уже дал пример Кубичека. :) Что мне в таком методе не нравится, так это подтормаживание из-за вызова htmldb_Get и необходимость изменять JS при изменении набора параметров. Но если безопасность превыше всего и есть время, то можете написать собственную функцию-обёртку, в которую просто передавать массивы переменных и их значений и страницу для перехода. Но - должен быть метод покрасивее. Стоит погуглить по oracle apex security... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=50&tablet=1&tid=1877296]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
44ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
40ms |
get tp. blocked users: |
1ms |
| others: | 13ms |
| total: | 140ms |
| 0 / 0 |
