Una sobre ServerVariables

freesoftwarrior · #1 (**permalink**) 29/03/2012, 19:23

Buenas noches:
Veamos, estuve pensando en una simple rutina para evitar que carguen una página si no proviene de un enlace del web principal. Es decir, que copien la ruta completa y la peguen en otra ventana o en otro browser y la carguen. Quiero evitar eso.

Se me ocurrió lo siguiente

Cita:

If InStr(Request.ServerVariables("HTTP_REFERER"),Requ est.ServerVariables("SERVER_NAME"))=0 Then
Session("msjeError")=3
Pagina="../msje.asp"
Response.Redirect Pagina
End If

Funciona bien si se tratan de links de uno de estos 2 tipos:

Cita:

<a href="test.asp">con enlace</a>

<a onclick="javascript:parent.location.href='test.asp ';" style="cursor:hand;">con onClick</a>

La página test.asp tiene el código ASP antes mostrado. Si uso dichos links carga sin problema alguno y si copio los links en una pestaña adicional o ventana nueva con el mismo browser, pues me muestra el mensaje de que hubo un acceso no autorizado. Genial.

Pero... no funciona si se trata de ventanas adicionales de las creadas con window.open()

Por ejemplo

Cita:

Abre la ventana y me muestra el mensaje de acceso no autorizado. Y la razón es que el HTTP_REFERER no lo reconoce, es más, no captura absolutamente nada de nada.

Y tiene sentido porque es como si, efectivamente, abriera una pestaña o ventana nueva y copiara el link, lo cual hace que el script original funcione.

En resumen: si funciona pero no me permite usarlo en mi web cuando se trata de abrir ventanas adicionales.

¿Que sugieren?

Muchas gracias por el apoyo
Un saludo desde Lima, Perú

u_goldman · #2 (**permalink**) 30/03/2012, 10:24

Referer solo funcionará si existe una acción ejecutada por el cliente, este caso hacer click en un link.

Como alternativa podrías pasar desde esa función JavaScript la URL en la que se encuentra actualmente y quizás combinar esto con una variable de sesión, no se es solo una idea inicial:

Código ASP:

Ver originalfunction PageUrl
     dim sPort
     sPort = Request.ServerVariables("SERVER_PORT")
     if sPort = "80" then
        sPort = ""
     else
        sPort = ":" & sPort
     end if
 
     PageUrl = "http://" & Request.ServerVariables("SERVER_NAME") & sPort & _
                           Request.ServerVariables("URL") & "?" & _
                           Request.ServerVariables("QUERY_STRING")
  end function

Tomada de: http://stackoverflow.com/questions/2...in-classic-asp

Código Javascript:

Ver original<script>
function ventana()
{ventana=window.open("test.asp?referer=<%=PageUrl%>", "", "");}
</script>

Saludos

freesoftwarrior · #3 (**permalink**) 30/03/2012, 17:36

Muchas gracias por la respuesta. Voy a curiosear un poco la idea.

Hexplore · #4 (**permalink**) 31/03/2012, 11:19

Yo, cuando quiero evitar que hagan lo que dices, lo que hago es enviar un campo hidden mediante un formulario a esa página, si ese campo hidden no contiene datos simplemente pongo:
Response.Write "<script language='javascript'>location.href='/index.asp'</script>" y los saco fuera de la página mediante javascript. Si contiene datos correctos, ejecuto la página normalmente

freesoftwarrior · #5 (**permalink**) 03/04/2012, 07:00

La idea del port es interesante pero mientras sea con el mismo browser y con la sesión abierta no funciona.

Lo del campo hidden funciona si y solo si se envía un formulario pero en el caso de cargar simplemente una página no. Pero la idea es buena.

Hexplore · #6 (**permalink**) 03/04/2012, 15:20

Cita:

Iniciado por freesoftwarrior

Buenas noches:
Veamos, estuve pensando en una simple rutina para evitar que carguen una página si no proviene de un enlace del web principal

No lo entiendo, si quieres que venga de ese enlace y solo de ese enlace, en lugar de un enlace, pones un formulario con el campo hidden.

¿Cómo vas a cargar simplemente una página, si tiene que venir del enlace del web principal?

freesoftwarrior · #7 (**permalink**) 03/04/2012, 16:39

Gracias por responder Hexplore. Lamento no haberme explicado bien. La situación es que en este proyecto hay mucho uso de ventanas adicionales creadas con window.open() y claro, por motivos de seguridad en los browsers, siempre se mostrará la barra de dirección en la parte superior donde se podrá ver la dirección completa de la ventana creada (obvio).

Ahora bien, lo que deseo es que cuando se copie ese link y se pegue en otra pestaña del mismo browser, simplemente lo detecte y le muestre un mensaje indicando que no puede proseguir la acción, que no esta autorizado, etc.

¿Y por que en el mismo browser?. Por el tema de la sesión abierta. Como uno tiene que logearse se crean variables de sesión (Session en ASP) y es por ese motivo que si yo copio la URL (¿o es "el" URL?) en otra pestaña o inclusive en otra ventana (abriendo otra sesión del browser) si lo carga sin problema alguno.

Eso es lo que deseo hacer.

Espero haberme explicado mejor ahora.

Un saludo desde el Perú

Hexplore · #8 (**permalink**) 03/04/2012, 17:27

Y en esa ventana adicional, creada con window.open() puedes recoger variables de un formulario?
Si no se puede, entonces entiendo que lo que te digo de los formularios no te sirva, pero si se puede, es que sigo sin entender el problema

Yo tengo el foro hecho con formularios/post, entro en el foro y me meto en un tema en concreto(estoy haciendole llegar el id del tema mediante post, asi como la pagina, el foro, el subforo, etc...), copio la dirección, la pego en una nueva pestaña del mismo browser, y me da error, pero si quieres mostrar un mensaje de error en concreto basta con controlar que esa variable esté vacía.

freesoftwarrior · #9 (**permalink**) 03/04/2012, 17:52

Lo que pasa es que muchas de las ventanas se crean para cargar otras páginas, no en respuesta de una petición o proceso, simplemente cargan una página y listo. Por ejemplo, si quiere uno tener el directorio de clientes, hace clic en un icono y este llama a la función de este tipo

Cita:

Muchas, si no todas (haciendo memoria no estoy seguro) funcionan de esa forma. Por eso es que de momento no veo como poder incluir un campo de formulario y menos un formulario para poder hacer lo que sugieres.

Por ello consideré lo de las variables de servidor.

Además tú hablas de un campo hidden y me pregunto ¿que evitaría ver el código fuente de la página, ubicar el campo hidden (supongamos que es el único) y luego copiar la dirección URL e incluir un &campo_hidden=valor?

Porque si el valor del campo hidden lo asigna un proceso de servidor tipo ASP o PHP, el valor se va a ver en el código fuente. Y si el valor es asignado en tiempo real por alguna función en javascript, pues bastaría con ubicar dicha funciión aunque tome tiempo, pues los JS se pueden descargar y sólo si estuvieran encriptados no sería nada fácil el entenderlos.

También había considerado el utilizar máscaras en el dominio, para que siempre muestre el dominio y nada más, pero no se si vaya a ser útil.

Muchas gracias por tu preocupación e interés.

Un saludo desde el Perú