একই-উত্স নীতিটি নষ্ট করার উপায়

একই উত্স নীতি

আশা করি এই বিষয়টির সন্ধানকারী যে কেউ সহায়তা করতে আশাবাদী এইচটিএমএল / জেএস সম-উত্স নীতিগুলি সম্পর্কিত একটি সম্প্রদায় উইকি তৈরি করতে চেয়েছিলাম । এটি এসও-তে সর্বাধিক সন্ধান করা বিষয়গুলির মধ্যে একটি এবং এর জন্য কোনও সংহত উইকি নেই তাই আমি এখানে যাচ্ছি :)

একই উত্স নীতিটি একটি উত্স থেকে লোড হওয়া কোনও দস্তাবেজ বা স্ক্রিপ্টকে অন্য উত্স থেকে কোনও দস্তাবেজের বৈশিষ্ট্য পেতে বা সেট করতে বাধা দেয়। এই নীতিটি নেটস্কেপ ন্যাভিগেটর ২.০-এর সমস্ত পথেই রয়েছে।

সম-উত্স নীতিগুলি ঘুরে দেখার জন্য আপনার প্রিয় কয়েকটি উপায় কী?

অনুগ্রহ করে উদাহরণগুলি ভার্বোজ রাখুন এবং আপনার উত্সগুলিকেও পছন্দ করে নিন।

document.domainপদ্ধতি

• পদ্ধতির ধরণ: iframe ।

নোট করুন যে এটি একটি iframe পদ্ধতি যা ডকুমেন্ট.ডোমেনের মান বর্তমান ডোমেনের প্রত্যয় হিসাবে সেট করে। যদি এটি হয় তবে সংক্ষিপ্ত ডোমেনটি পরবর্তী উত্স পরীক্ষার জন্য ব্যবহৃত হবে। উদাহরণস্বরূপ, http://store.company.com/dir/other.htmlনিম্নলিখিত বিবৃতিটি সম্পাদন করে নথিতে একটি স্ক্রিপ্ট ধরে নিন :

document.domain = "company.com";

এই বিবৃতি কার্যকর হওয়ার পরে, পৃষ্ঠাটি মূল চেকটি পাস করবে http://company.com/dir/page.html। যাইহোক, একই যুক্তি দ্বারা, সংস্থা ডটকম সেট document.domain করতে পারেনি othercompany.com।

এই পদ্ধতির সাহায্যে, আপনাকে প্রধান ডোমেনে উত্সাহিত কোনও পৃষ্ঠায় সাবডোমেনে উত্সাহিত একটি iframe থেকে জাভাস্ক্রিপ্ট সন্ধান করার অনুমতি দেওয়া হবে। ক্রস-ডোমেন সংস্থানগুলির জন্য এই পদ্ধতিটি উপযুক্ত নয় কারণ ফায়ারফক্সের মতো ব্রাউজারগুলি আপনাকে document.domainসম্পূর্ণ এলিয়েন ডোমেনে পরিবর্তন করতে দেয় না ।

সূত্র: https://developer.mozilla.org/en/Same_origin_policy_for_ জাভা স্ক্রিপ্ট

ক্রস-অরিজিন রিসোর্স ভাগ করে নেওয়ার পদ্ধতি

• পদ্ধতির ধরণ: এজেএক্স ।

ক্রস-অরিজিন রিসোর্স শেয়ারিং (সিওআরএস) একটি ডাব্লু 3 সি ওয়ার্কিং ড্রাফ্ট যা সংজ্ঞা দেয় যে উত্স জুড়ে উত্সগুলিতে অ্যাক্সেস করার সময় ব্রাউজার এবং সার্ভারকে কীভাবে যোগাযোগ করতে হবে। সিওআরএসের পিছনে মূল ধারণাটি হ'ল কাস্টম এইচটিটিপি শিরোনাম ব্যবহার করে ব্রাউজার এবং সার্ভার উভয়কে একে অপরের সম্পর্কে পর্যাপ্ত পরিমাণে তা জানতে নির্ধারণ করতে অনুরোধ বা প্রতিক্রিয়া সফল হতে পারে বা ব্যর্থ হওয়া উচিত।

একটি সাধারণ অনুরোধের জন্য, যা ব্যবহার করে GETবা POSTকাস্টম শিরোনামহীন এবং যার দেহ হয় text/plain, অনুরোধটি অতিরিক্ত শিরোনাম সহ প্রেরণ করা হয় Origin। অরিজিন শিরোনামটিতে অনুরোধ পৃষ্ঠার উত্স (প্রোটোকল, ডোমেন নাম এবং পোর্ট) রয়েছে যাতে সার্ভারটি সহজেই নির্ধারণ করতে পারে যে এটির কোনও প্রতিক্রিয়া পরিবেশন করা উচিত কি না। একটি উদাহরণ Originশিরোনাম এর মত দেখতে হতে পারে:

Origin: http://www.stackoverflow.com

যদি সার্ভার সিদ্ধান্ত নেয় যে অনুরোধটি মঞ্জুর করা উচিত তবে এটি একটি Access-Control-Allow-Originশিরোনাম প্রেরণ করে যে একই উত্সটি প্রেরণ করা হয়েছিল বা *এটি যদি কোনও জনসাধারণের উত্স হয় তবে back উদাহরণ স্বরূপ:

Access-Control-Allow-Origin: http://www.stackoverflow.com

যদি এই শিরোলেখটি অনুপস্থিত থাকে, বা উত্সগুলি মেলে না, তবে ব্রাউজারটি অনুরোধটিকে অস্বীকার করে। যদি সবকিছু ঠিক থাকে তবে ব্রাউজারটি অনুরোধটি প্রক্রিয়া করে। নোট করুন যে অনুরোধ বা প্রতিক্রিয়াগুলির মধ্যে কুকির তথ্য অন্তর্ভুক্ত নয়।

মোজিলা টিম তাদের পোস্টগুলিতে সিওআরএস সম্পর্কে পরামর্শ দেয় যে withCredentials ব্রাউজারটি এক্সএইচআর এর মাধ্যমে CORS সমর্থন করে কিনা তা নির্ধারণ করার জন্য আপনার সম্পত্তিটির অস্তিত্ব পরীক্ষা করা উচিত । তারপরে আপনি XDomainRequestসমস্ত ব্রাউজারগুলি কভার করতে অবজেক্টটির অস্তিত্ব নিয়ে দম্পতি করতে পারেন :

function createCORSRequest(method, url){
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr){
        xhr.open(method, url, true);
    } else if (typeof XDomainRequest != "undefined"){
        xhr = new XDomainRequest();
        xhr.open(method, url);
    } else {
        xhr = null;
    }
    return xhr;
}

var request = createCORSRequest("get", "http://www.stackoverflow.com/");
if (request){
    request.onload = function() {
        // ...
    };
    request.onreadystatechange = handler;
    request.send();
}

নোট করুন যে সিওআরএস পদ্ধতিটি কাজ করার জন্য আপনার কোনও ধরণের সার্ভার হেডার মেকানিকের অ্যাক্সেস থাকা দরকার এবং কেবল কোনও তৃতীয় পক্ষের সংস্থান অ্যাক্সেস করতে পারবেন না।

সূত্র: http://www.nczonline.net/blog/2010/05/25/cross-domain-ajax-with-cross-origin-resource-sharing/

window.postMessageপদ্ধতি

• পদ্ধতির ধরণ: iframe ।

window.postMessage, যখন ডাকা হয়, MessageEventলক্ষ্য উইন্ডোতে একটি প্রেরণের কারণ ঘটায় যখন নির্ধারিত কোনও স্ক্রিপ্ট যা কার্যকর করা আবশ্যক তা সম্পূর্ণ হয় (উদাহরণস্বরূপ ইভেন্ট হ্যান্ডলার window.postMessageথেকে পূর্বে নির্ধারিত মুলতুবি থাকা সময়সীমা ইত্যাদি) যদি বাকি ইভেন্ট হ্যান্ডলারগুলি ডাকা হয়। MessageEventমেসেজ টাইপ করুন, একটি হয়েছে dataসম্পত্তি যা প্রদান করা প্রথম যুক্তির স্ট্রিং মান সেট করা হয় window.postMessageএকটি, originসম্পত্তি জানালা কলিং প্রধান নথির মূল সংশ্লিষ্ট window.postMessageসময়ে window.postMessageবলা হয়, এবং একটি sourceসম্পত্তি যা থেকে উইন্ডো যাকে window.postMessageবলা হয়।

ব্যবহার করতে window.postMessage, একটি ইভেন্ট শ্রোতা অবশ্যই সংযুক্ত থাকতে হবে:

    // Internet Explorer
    window.attachEvent('onmessage',receiveMessage);

    // Opera/Mozilla/Webkit
    window.addEventListener("message", receiveMessage, false);

এবং একটি receiveMessageফাংশন অবশ্যই ঘোষণা করতে হবে:

function receiveMessage(event)
{
    // do something with event.data;
}

অফ-সাইট আইফ্রেমে অবশ্যই অনুষ্ঠানের মাধ্যমে যথাযথ প্রেরণ করতে হবে postMessage:

<script>window.parent.postMessage('foo','*')</script>

উইন্ডোটিতে নথির অবস্থান নির্বিশেষে যে কোনও উইন্ডো অন্য যে কোনও উইন্ডোতে এই পদ্ধতিটি অ্যাক্সেস করতে পারে, কোনও বার্তা প্রেরণে। ফলস্বরূপ, বার্তা গ্রহণ করতে ব্যবহৃত যে কোনও ইভেন্ট শ্রোতার অবশ্যই প্রথমে উত্স এবং সম্ভাব্য উত্স বৈশিষ্ট্য ব্যবহার করে বার্তা প্রেরকের পরিচয় পরীক্ষা করতে হবে। এটি সংক্ষিপ্ত করা যায় না: সম্ভাব্য বৈশিষ্ট্যগুলি পরীক্ষা করতে ব্যর্থতা ক্রস-সাইট স্ক্রিপ্টিং আক্রমণকে সক্ষম করে।originsource

সূত্র: https://developer.mozilla.org/en/DOM/window.postMessage

বিপরীত প্রক্সি পদ্ধতি

• পদ্ধতির ধরণ: আজাক্স

সার্ভারে একটি সাধারণ বিপরীত প্রক্সি সেটআপ করা , ব্রাউজারটিকে অ্যাজাক্স অনুরোধগুলির জন্য আপেক্ষিক পাথগুলি ব্যবহার করার অনুমতি দেয়, যখন সার্ভারটি কোনও দূরবর্তী অবস্থানের প্রক্সি হিসাবে কাজ করবে।

ব্যবহার যদি mod_proxy এ্যাপাচি মধ্যে, মৌলিক কনফিগারেশন নির্দেশ সেট আপ করার জন্য একটি বিপরীত প্রক্সি হল ProxyPass। এটি সাধারণত নিম্নলিখিত হিসাবে ব্যবহৃত হয়:

ProxyPass     /ajax/     http://other-domain.com/ajax/

এই ক্ষেত্রে, ব্রাউজারটি /ajax/web_service.xmlআপেক্ষিক ইউআরএল হিসাবে অনুরোধ করতে সক্ষম হবে , তবে সার্ভার এটিকে প্রক্সি হিসাবে কাজ করে পরিবেশন করবে http://other-domain.com/ajax/web_service.xml।

এই পদ্ধতির একটি আকর্ষণীয় বৈশিষ্ট্য হ'ল বিপরীত প্রক্সিটি সহজেই একাধিক ব্যাক-এন্ডের দিকে অনুরোধগুলি বিতরণ করতে পারে, এইভাবে লোড ব্যালেন্সার হিসাবে কাজ করে ।

আমি জেএসএনপি ব্যবহার করি।

মূলত, আপনি যুক্ত করুন

<script src="http://..../someData.js?callback=some_func"/>

আপনার পৃষ্ঠায়

some_func () কে ফোন করা উচিত যাতে আপনাকে তথ্যটি জানিয়ে দেওয়া হয় যে ডেটা রয়েছে।

যেকোনওআরগিন কিছু https সাইটগুলির সাথে ভালভাবে কাজ করে না, তাই আমি স্রেফ যাওরিগিন.আর.আর্গ নামে একটি ওপেন সোর্স বিকল্প লিখেছি যা https- র সাথে ভাল কাজ করে বলে মনে হচ্ছে।

GitHub কোডটি ।

আমি যে একই-উত্স নীতিটি পেয়েছি তাতে কাটিয়ে উঠার সর্বাধিক সাম্প্রতিক উপায় হ'ল http://anyorigin.com/

সাইটটি তৈরি হয়েছে যাতে আপনি কেবল এটির কোনও ইউআরএল দেন এবং এটি আপনার জন্য জাভাস্ক্রিপ্ট / জ্যাকোয়ারি কোড উত্পন্ন করে যা আপনাকে এইচটিএমএল / ডেটা পেতে দেয়, তার উত্স নির্বিশেষে। অন্য কথায় এটি কোনও url বা ওয়েবপৃষ্ঠাকে JSONP অনুরোধ করে ON

আমি এটি বেশ দরকারী বলে মনে করেছি :)

এখানে অরিরিগিনের জাভাস্ক্রিপ্ট কোডের কয়েকটি উদাহরণ রয়েছে:

$.getJSON('http://anyorigin.com/get?url=google.com&callback=?', function(data){
    $('#output').html(data.contents);
});

আমি এই চিত্রটির জন্য ক্রেডিট দাবি করতে পারি না, তবে এটি এই বিষয়ে আমার জানা সমস্ত জিনিসের সাথে মিলে যায় এবং একই সাথে কিছুটা রসিকতার প্রস্তাব দেয়।

http://www.flickr.com/photos/iluvrhinestones/5889370258/

Jsonp মনে আসে:

জেএসএনপি বা "প্যাডিং সহ জেএসওএন" বেস জেএসওএন ডেটা ফর্ম্যাটটির পরিপূরক, এমন ব্যবহারের প্যাটার্ন যা কোনও পৃষ্ঠাকে অনুরোধ করার অনুমতি দেয় এবং প্রাথমিক সার্ভার ব্যতীত অন্য কোনও সার্ভার থেকে জাসনকে আরও অর্থপূর্ণভাবে ব্যবহার করতে পারে। জেএসএনপি হ'ল ক্রস-অরিজিন রিসোর্স শেয়ারিং নামে পরিচিত একটি সাম্প্রতিক পদ্ধতির বিকল্প।

ব্যক্তিগতভাবে, window.postMessageআমি আধুনিক ব্রাউজারগুলির জন্য সবচেয়ে নির্ভরযোগ্য উপায় খুঁজে পেয়েছি। আপনি নিজেকে এক্সএসএস আক্রমণে উন্মুক্ত রাখছেন না তা নিশ্চিত করতে আপনাকে আরও কিছুটা কাজ করতে হবে, তবে এটি একটি যুক্তিসঙ্গত বাণিজ্য off

ওখানে জনপ্রিয় জাভাস্ক্রিপ্ট টুলকিটগুলির জন্য বেশ কয়েকটি প্লাগইন রয়েছে যা window.postMessageউপরের আলোচিত অন্যান্য পদ্ধতি ব্যবহার করে পুরানো ব্রাউজারগুলিতে অনুরূপ কার্যকারিতা সরবরাহ করে rap

ঠিক আছে, আমি পিএইচপি এ কার্ল ব্যবহার করেছিলাম। আমি একটি ওয়েব সার্ভিস পোর্ট 82 চলমান।

<?php

$curl = curl_init();
$timeout = 30;
$ret = "";
$url="http://localhost:82/put_val?val=".$_GET["val"];
curl_setopt ($curl, CURLOPT_URL, $url);
curl_setopt ($curl, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($curl, CURLOPT_MAXREDIRS, 20);
curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($curl, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5");
curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, $timeout);
$text = curl_exec($curl);
echo $text;

?>

এখানে জাভাস্ক্রিপ্ট যা পিএইচপি ফাইলে কল করে

function getdata(obj1, obj2) {

    var xmlhttp;

    if (window.XMLHttpRequest)
            xmlhttp=new XMLHttpRequest();
    else
            xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");

    xmlhttp.onreadystatechange=function()
    {
        if (xmlhttp.readyState==4 && xmlhttp.status==200)
        {
                document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
        }
    }
    xmlhttp.open("GET","phpURLFile.php?eqp="+obj1+"&val="+obj2,true);
    xmlhttp.send();
}

আমার এইচটিএমএল 80 বন্দর WAMP এ চলেছে। সুতরাং আমরা সেখানে যাই, একই উত্স নীতিটি অবরুদ্ধ করা হয়েছে :-)

এখানে একই-উত্স-নীতিটির কিছু কার্যকারণ এবং ব্যাখ্যা:
থিরুর ব্লগ - ব্রাউজারের একই উত্স নীতি কর্মসূচি

এটি সেখানে যা পাওয়া যায় তা বেশ বিশ্লেষণ করে: http://www.slideshare.net/SlexAxton/breaking-t-- ক্রস- ডোমেন- বারিয়ার

পোস্টমেসেজ সমাধানের জন্য একবার দেখুন:

https://github.com/chrissrogers/jquery-postmessage/blob/master/jquery.ba-postmessage.js

এবং কিছুটা আলাদা সংস্করণ:

https://github.com/thomassturm/ender-postmessage/blob/master/ender-postmessage.js