[vadimg88]

מצטער כנראה לא קראתי נכון. לא משהו שאני זורק סתם.

ציטוט:

JS שפת צד לקוח, מכאן שAJAX רץ בצד לקוח, מכאן שהIP של הבקשה הוא של הגולש, ולא של השרת.

זה המשפט שהטעה אותי כנראה. ומכאן הדיון הלך לכיוון אחר לגמרי. בקשת AJAX ל API של גורם חיצוני ישירות לפי ההגיון כן ה IP צריך להיות של הגולש כי זה לא עובר דרך השרת. למרות שאני לא בטוח לגמרי ולא מצאתי על זה כלום עדיין.

[omercnet]

ציטוט:

נכתב במקור על ידי vadimg88

מצטער כנראה לא קראתי נכון. לא משהו שאני זורק סתם.



זה המשפט שהטעה אותי כנראה. ומכאן הדיון הלך לכיוון אחר לגמרי. בקשת AJAX ל API של גורם חיצוני ישירות לפי ההגיון כן ה IP צריך להיות של הגולש כי זה לא עובר דרך השרת. למרות שאני לא בטוח לגמרי ולא מצאתי על זה כלום עדיין.

תרשו לי להכנס ולקבוע לכם עובדה,
כמו שנאמר פה כבר, AJAX זה אוסף ספריות JS
כשאתה עושה xmlHttpRequest בAJAX או בכלליות בJS, הלקוח פונה לאן שלא תפנה אותו

הדבר הזה ד"א מוביל להמון סוגים של התקפות, אני יכול באמצעות קוד שאני שם אצלי באתר לגרום לכל מי שמבקר בו לפנות לאתר אחר מבלי כל התערבות שלו או שהוא רואה את זה (ולא באמצעות IFRAME), וע"י זה או לעשות משהו לטובת התוקף, או לנצל את הלקוח כקרקע להתקפה אחרת (ז"א שהלקוח יבצע התקפה על אתר אחר מבלי שהוא מודע לכך)

לסיכום, כשאתם עושים בקוד שלכם JS, הוא רץ בסביבת הדפדפן, וכלום לא קורה בשרת (אלא אם הפעולה היא לפנות לשרת עצמו, כמו דפדוף בתוכן).
בכל מקרה, כל בקשה שהJS ייזום, תצא עם הIP של הלקוח!

שבוע טוב לכולם