Milyen modszerekkel lehet ellenorizni, hogy egy http requestet bongeszo kuldott vagy valami script/program?
Egy penzugyi intezetnek van egy iframe-je az oldalunkba agyazva, amit egy JavaScript jelenit meg. Az iframe-ben levo url viszont elerheto bongeszobol is, visszaadja az iframe tartalmat html-kent. Mivel nincsen dokumentalva az intezet ali-ja, amire szuksegem lenne, de nem tudom hasznalni, ezert ebbol a html oldalbol parse-olnam az adatokat. A problema viszont az, hogy a bongeszobol vett header adatokkal sem kapok vissza semmit response-kent. Honnan tudhatjak megfeleloen kitoltott header mellett, hogy nem bongeszobol jott a keres?
Az api-val kapcsolatos kerdesemre 15 napon belul valaszolnak legjobb esetben, de azert jo lenne ha addig lenne valami mukodo alternativa.
válasza: válasza:Pl. úgy, hogy maga a főoldal letöltése (vagy egy abba ágyazott másik lekérés/script által küldott kérés) beállít valamit a szerveroldalon, így tudja detektálni, hogy volt-e főoldal letöltés.. és ha ilyen nem volt, akkor valami bibi van. Persze ez csak egy módszer, könnyen lehet hogy nem így csinálják.
Biztos vagy benne, hogy pontosan ugyanaz a küldött header?
válasza:Illetve nem lehet, hgoy van valami session azonosító a headerben, ami a program által küldött kéréskor már nem él?
A legjobb az lenne, ha nem csak az iframe lekérést, hanem minden kérést leutánoznál.
válasza:
válasza:Lehetséges hogy Anti-forgery tokent használnak. Az pont erre való hogy megakadályozza hogy más forrásból is lehessen futtatni kérést.
Az fontos hogy azt nem lehet eldönteni hogy a kérés böngészőből vagy skriptből vagy bármi másból történt. A lényeg hogy a kéréseknek végig ugyanabból a forrásból kell származnia. Ha a böngészőben jelentkeztél be akkor ott. Ha scriptekkel saját programmbol akkor ott kell megtörténnie a kérésnek. Miért?
Azért mert a szerver előállít egy egyedi tokent. Ezt átadja a kliensnek pl böngésző. Ott ez bekerül egy rejtett fieldbe vagy cookie-ba. A következő kérés elfogadásához kelleni fog ez a token. Ezt böngészőben javascriptel kiolvasva belekerül például a headerbe. Ami még tartalmazhat számos egyéb dolgot is a cliensről is hogy honnan történt a kérés. Ha ez a páros nem egyezik akkor nem foglalkozik a szerver a kéréssel.
Ha te saját kéréseket akarsz küldeni. Akkor meg kell vizsgálnod hogy milyen azonosítási módszereket alkalmaz.. NEm elég csak a headert kimásolni hanem végig kell vinned az egész folyamatot. Pl bejelentkezésnél a resultot meg kell vizsgálnod mindenféle információt ki kell belőle szedned nem csak az eredményt.. Ha jött cookie azt is. ha html-ben van rejtett field ami tokent tartalmaz azt is. Ezeket meg kell tudnod milyen formában kell beleraknod a következő kérés headerjébe. stb. Szóval nem mindig olyan egyszerű ez mint amilyennek elsőre tűnik :) Sok sikert a projecthez remélem sikerül
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!