désactivation du javascript

Le
Davy Crockett
Bonjour,

J'ai créé une application web pour un nombre restreint d'utilisateur
(en intranet) qui nécessite l'activation du javascript pour fonctionner
correctement, comme un webmail à vrai dire.

Afin de parer à toute éventualité j'ai inséré dans le head de chaque
page le code suivant qui renvoie l'utisateur sur une page qui lui
explique qu'il faut qu'il active obligatoirement le javascript :

<noscript>
<meta HTTP-EQUIV="Refresh"
content="0;URL=http://www.ton_site.com/desole.htm">
</noscript>

Savez-vous si un internaute quelqu'il soit peut contourner ce code et
utiliser la page tout en ayant son javascript désactivé ?

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
SAM
Le #14499371
Davy Crockett a écrit :
Bonjour,

J'ai créé une application web pour un nombre restreint d'utilisateur (en
intranet) qui nécessite l'activation du javascript pour fonctionner
correctement, comme un webmail à vrai dire.

Afin de parer à toute éventualité j'ai inséré dans le head de chaque
page le code suivant qui renvoie l'utisateur sur une page qui lui
explique qu'il faut qu'il active obligatoirement le javascript :



ce n'est pas à toi qu'on a expliqué que 'noscript' n'avait rien à faire
dans le head ?

<noscript>
<meta HTTP-EQUIV="Refresh"
content="0;URL=http://www.ton_site.com/desole.htm">
</noscript>

Savez-vous si un internaute quelqu'il soit peut contourner ce code et
utiliser la page tout en ayant son javascript désactivé ?



1) c'est son problème
si ça ne fonctionne pas (bien ou pas du tout) ce sera sa faute

2) usuellement on dispose une page normale de départ
- avec un lien pour continuer
- si on n'a pas le JS, le lien fonctionne normalement
- si on a le JS on va sur la page avec JS
<a href="desole.htm"
onclick="location=appliJS.htm;">continuer</a>

3) rien n'empèche l'utilisateur de découvrir qu'il y a une page
'appliJS.htm' et de tenter d'y aller malgré tout

4) la soluce est la page "tout en JS"
c'est le JS qui écrit le code html
sauf le petit lien vers 'desole.htm'.
Petit lien qui sera caché par le JS,
les élèves consciencieux ne le verront pas

5) l'alternative à faire écrire le code html par le JS
est l'Ajax ou plus simplement le XMLHttpRequest
qui est une fonction JavaScript pour charger du code html
additionnel ou de remplacement.


--
sm
Davy Crockett
Le #14499361
SAM avait écrit le 09/07/2008 :
Davy Crockett a écrit :




<noscript>
<meta HTTP-EQUIV="Refresh"
content="0;URL=http://www.ton_site.com/desole.htm">
</noscript>

Savez-vous si un internaute quelqu'il soit peut contourner ce code et
utiliser la page tout en ayant son javascript désactivé ?



1) c'est son problème
si ça ne fonctionne pas (bien ou pas du tout) ce sera sa faute



En fait le cahier des charges dit qu'il ne faut pas que l'internaute
puisse utiliser la page si le javascript est désactivé. C'est tout ou
rien en fait :-)


3) rien n'empèche l'utilisateur de découvrir qu'il y a une page
'appliJS.htm' et de tenter d'y aller malgré tout



Ce qui est bien avec mon code c'est que quelque soit la page qu'il
pourrait découvrir, ça le renvoie sur systématiquement sur desole.htm
quand le javascript est désactivé.

Par contre comme je ne maitrise pas le javascript, j'ai peur que ma
méthode <noscript></noscript> puisse ête hackée par un utilisateur
"avancé" qui pourrait surfer sur mes pages hors tout contrôle
javascript. Cette méthode est elle fiable ?





Merci pour le lien Ajax. Il faut vraiment que je mette à cette
technologie.
SAM
Le #14499351
Davy Crockett a écrit :

Par contre comme je ne maitrise pas le javascript, j'ai peur que ma
méthode <noscript></noscript> puisse ête hackée par un utilisateur
"avancé" qui pourrait surfer sur mes pages hors tout contrôle
javascript. Cette méthode est elle fiable ?



Il suffit d'enregistrer la page et de la lire dans un éditeur texte, par
exemple.

Mais je ne vois pas où est le problème qu'on tente de "surfer" sur tes
pages qui ont du JS alors qu'il est désactivé sur le brouteur.
?? y a qque chose qui m'échappe là ... :-(

Ou bien es-tu en train de tenter d'avoir des pages secrètes ou réservées
en employant le JS pour ça ?

Si oui : oublie ! Le JS ne sert pas à ça.

N'importe qui d'un peu futé pourra parcourir les pages
(en général tout est en clair dans le javascript)

--
sm
Davy Crockett
Le #14538631
Après mûre réflexion, SAM a écrit :
Davy Crockett a écrit :

Par contre comme je ne maitrise pas le javascript, j'ai peur que ma méthode
<noscript></noscript> puisse ête hackée par un utilisateur "avancé" qui
pourrait surfer sur mes pages hors tout contrôle javascript. Cette méthode
est elle fiable ?



Il suffit d'enregistrer la page et de la lire dans un éditeur texte, par
exemple.

Mais je ne vois pas où est le problème qu'on tente de "surfer" sur tes pages
qui ont du JS alors qu'il est désactivé sur le brouteur.
?? y a qque chose qui m'échappe là ... :-(

Ou bien es-tu en train de tenter d'avoir des pages secrètes ou réservées en
employant le JS pour ça ?

Si oui : oublie ! Le JS ne sert pas à ça.

N'importe qui d'un peu futé pourra parcourir les pages
(en général tout est en clair dans le javascript)



euh non il n'y a rien de secret sur ces pages.Que la lecture se fasse
dans un éditeur ne me pose aucun problème. Seulement, il y a des mises
en forme de texte et d'images qui se font à l'aide du javascript et des
controles de validités effectués avant soumission des formulaires. Et
je ne veux que l'utilisateur puisse faire quoique ce soit, si le
javascript n'est pas opérationnel d'ou mon redirect vers une page
d'explication.
SAM
Le #14569361
Davy Crockett a écrit :
Après mûre réflexion, SAM a écrit :

Ou bien es-tu en train de tenter d'avoir des pages secrètes ou
réservées en employant le JS pour ça ?

Si oui : oublie ! Le JS ne sert pas à ça.

N'importe qui d'un peu futé pourra parcourir les pages
(en général tout est en clair dans le javascript)



euh non il n'y a rien de secret sur ces pages.Que la lecture se fasse
dans un éditeur ne me pose aucun problème. Seulement, il y a des mises
en forme de texte et d'images qui se font à l'aide du javascript et des



Quelle drôle d'idée ! ?
Les CSS ne fonctionnent plus et personne ne m'a rien dit ?

controles de validités effectués avant soumission des formulaires. Et je
ne veux que l'utilisateur puisse faire quoique ce soit, si le javascript
n'est pas opérationnel d'ou mon redirect vers une page d'explication.



Ma foi, tu vois comme tu veux, c'est ta baraque après tout.
(normalement le JS de vérif n'est qu'une béquille pour éviter les A et R
vers serveur, il n'y a que le code sur serveur qui peut réellement être
sûr, donc la vérif finale se fait quand même côté serveur).

J'ai comme l'impression que tu te fourvoies dans l'emploi du javascript.

--
sm
Mickaël Wolff
Le #16356311
Davy Crockett a écrit :

Et je
ne veux que l'utilisateur puisse faire quoique ce soit, si le javascript
n'est pas opérationnel d'ou mon redirect vers une page d'explication.



Le redirect est bancal, puisqu'avec n'importe quel navigateur libre,
on peut le désactiver.

--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org
Davy Crockett
Le #16361341
Il se trouve que Mickaël Wolff a formulé :


Le redirect est bancal, puisqu'avec n'importe quel navigateur libre,
on peut le désactiver.


C'est ce que je craignais !!

Mais quelle technologie utilise les webmails de masse qui ont besoin du
javascript pour fonctionner ?
Mickaël Wolff
Le #16361781
Davy Crockett a écrit :
Mais quelle technologie utilise les webmails de masse qui ont besoin du
javascript pour fonctionner ?



Tu peux écrire un Webmail sans aucune ligne de javascript. Ce sera
spartiate, mais ça marche partout (même dans w3m ;) ).

--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org
Publicité
Poster une réponse
Anonyme