Hej

Czy portal oparty na javascript jest bezpieczny? Mam na myśli:

[HTML] pobierz, plaintext 
function page(url, title){
var allowed = Array("omnie.html", "main.html", "komentarze.php", "flvplayer.html");
if(in_array(url, allowed)==1){
document.getElementById("cnt").src = "pages/"+url;
document.title=title;
}
else
alert("Dostęp zabroniony");
}
[HTML] pobierz, plaintext 

Polega to na tym, że klikając w menu nie ładuje się cała strona od nowa, tylko element iframe ("cnt") zmienia swój atrybut src (na plik podany w funkcji)

W praktyce wygląda to tak:

[HTML] pobierz, plaintext 
<a href="javascript:page('omnie.html', 'Inni o mnie')">Inni o mnie</a>
[HTML] pobierz, plaintext 

Jedynym zabezpieczeniem jest tablica, w której znajdują się pliki, które przglądarka może ładować do iframe.

I tu moje pytanie, czy to oby bezpieczne? Bo przecierz można wpiszać w pasku adresu java script:page('../secret.txt', 'a'); niby wyskoczy błąd, ale to się dzieje po stronie przeglądarki. Hackerem nie jestem, więc wydaje mi się, że nie da sie tego obejść. Proszę o rady.

PS. mógłbym zrobić to w php, ale wtedy strona by się przeładowywała za każdym kliknięciem linka w menu. A ja musze temu zapobiec (dość obszerna statyczna część strony)

A próbowałeś do tego celu wykorzystać Ajax?

Raczej jest to bezpieczne, tyle tylko że pokazujesz wszystkie podstrony w tablicy. Z resztą i tak sam byłoby z linkami. Więc sądzę że to rozwiązanie jest bezpieczne. Musisz się zabezpieczyć po stronie serwera.
Nawet to sprawdzanie nie jest potrzebne, bo lepiej zabezpieczysz sie po stronie serwera.

Wystarczy wyłączyć JS, zresztą do FF jest dużo wtyczek które pomagają omijać takiego typu rzeczy... dlaczego? Bo to sie dzieje po stronie przeglądarki, więc nie jest bezpieczne. Zawsze zabezpieczaj sie po stronie serwera!

Ktoś tu pomyślał i źle wymyślił...
Twoje rozwiązanie jest o tyle bez sensu, że iframe-y (czy też ogólnie ramki) mają tą własność, że wczytują się do nich dane bez przeładowania strony. Musisz tylko w odnośniku powiedzieć do której ramki strona o podanym adresie ma się wczytać. Nie pamiętam dokładnie (ramek raczej nie używam), ale chyba trzeba ramce nadać imię (name), a w odnośniku ustawić cel (target) na imię naszej ramki. Czyli:

[HTML] pobierz, plaintext 
<iframe src="costam.html" name="ramka"></iframe>
<a href="strona.html" target="ramka">Klik!</a>
[HTML] pobierz, plaintext 

i już! Twój sposób jest dobry, ale niepotrzebny - to jak z czołgiem na muchy startować. Zresztą JS można wyłączyć i wtedy strona nie będzie działać... A jeszcze ktoś ci coś brzydkiego na serwer wrzuci (jakoś by się chyba dało - dla chcącego...).

Sam już nie wiem, to można to ominąć?


ale w mojej funkcji używam jeszcze argumentu Title, bo w końcu zmieniając zawartość ramki na belce pojawia się napis 'Strona główna', lub 'O mnie' (page('main.html', 'Strona Główna')

Sam już nie wiem

Z tak zwanym palcem w... nosie. Twoje zabezpieczenie nic nie daje przeciwko FF z kilkoma wtyczkami czy "gołej" Operze. Jak chcesz ukryć zawartośc podstron przed wszystkimi - po prostu nie podawaj nigdzie linków. Ciężko trafić na daną stronę wpisując na oślep adres. Jeżeli chcesz zabezpieczyć przed niektórymi użytkownikami, skorzystaj z php.