Мысли о безопасности SWFUpload

Question

Одной из проблем использования Flash Uploader, управляемой Javascript (например, SWFUpload), является то, что Flash запускает собственный сеанс при выполнении сценария загрузки.Это означает, что если скрипт загрузки аутентифицирует пользователя, он потерпит неудачу.

Один из способов обойти это - передать PHPSESSID в качестве параметра post в скрипт.Однако это не идеальное решение, поскольку многие хостинг-провайдеры имеют включенную настройку PHP "session_use_only_cookies", предотвращающую принятие идентификаторов сеансов из запроса.не хочу, чтобы анонимные пользователи выполняли ваш скрипт загрузки, передавая его "бог знает что" из "бог знает где".

Мне интересно, есть ли у кого-нибудь альтернативные идеи для аутентификации пользователей, кроме сеансов и файлов cookie.Можно ли проверить, что запрос Flash поступил из ожидаемого источника и что действительный пользователь инициировал запрос.Возможно, с помощью какого-то токена, отличного от PHPSESSID, как это может сработать, если вообще будет?

Answer 1

Можно ли проверить, что запрос Flash поступил из ожидаемого источника и что действительный пользователь инициировал запрос.

Ненадежно, нет . Вы никогда не сможете достоверно подтвердить, что запрос Flash поступил из «ожидаемого источника». Вы можете только проверить его содержание.

Используя какой-то токен, отличный от PHPSESSID, возможно, как это могло бы работать, если вообще?

Вы можете изобрести свою собственную функцию «токен возобновления сеанса» (a.k.a. «запомнить меня cookie»), чтобы связать сеанс SWFUpload с сеансом PHP. Но это не будет аутентифицировать клиентское программное обеспечение, только отношения между двумя сессиями.