J'aimerais savoir s'il existe un moyen de modifier la valeur de
HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un
lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la
nouvelle valeur mise dans HTTP_USER_AGENT.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thibault TAILLANDIER
Bonjour,
J'aimerais savoir s'il existe un moyen de modifier la valeur de HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la nouvelle valeur mise dans HTTP_USER_AGENT.
Bonjour, A priori, je dirais non. Pour la simple raison que le javascript ne s'éxécute que sur une page statique déjà téléchargée par le client. Or le HTTP_USER_AGENT est envoyé par le client des la requete. Ex:
- Le client tape dans son navigateur: http://www.google.com - La navigateur envoie à serveur de google: GET / HTTP/1.1 Host: www.google.com User-Agent: Firefox/1.0.3
- Le serveur fait son traitement en fonction, puis retourne la page HTML. - La navigateur transforme le code HTML récupéré en une page HTML (qui contient éventuellement le javascript), et c'est seulement à cemoment la que tu pourrais effectuer les modifications du user agent. C'est à dire longtemps après que ton navigateur l'ait envoyé.
Comme on peut le voir sur http://krook.org/jsdom/ Les attributs de navigator sont readonly en javascript, et ne peuvent pas être modifié. Cependant, si tu possède un bon navigateur, il doit être possible de customizer le user agent (Opera ou Firefox) Firefox: "about:config" Puis cherche "useragent".
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ? Si c'est toi qui fait le site (ou tu voudrais insérer le Javascript), c'est que tu pourrais gérer le PHP afin qu'il ne renvoie pas la même chose, plutot que de te soucier de l'useragent. Et je ne parle meme pas des navigateur qui n'ont pas d'useragent, ou un useragent faux.
Bye -- Thibault
Bonjour,
J'aimerais savoir s'il existe un moyen de modifier la valeur de
HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un
lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la
nouvelle valeur mise dans HTTP_USER_AGENT.
Bonjour,
A priori, je dirais non.
Pour la simple raison que le javascript ne s'éxécute que sur une page
statique déjà téléchargée par le client.
Or le HTTP_USER_AGENT est envoyé par le client des la requete. Ex:
- Le client tape dans son navigateur: http://www.google.com
- La navigateur envoie à serveur de google:
GET / HTTP/1.1
Host: www.google.com
User-Agent: Firefox/1.0.3
- Le serveur fait son traitement en fonction, puis retourne la page HTML.
- La navigateur transforme le code HTML récupéré en une page HTML (qui
contient éventuellement le javascript), et c'est seulement à cemoment la
que tu pourrais effectuer les modifications du user agent.
C'est à dire longtemps après que ton navigateur l'ait envoyé.
Comme on peut le voir sur http://krook.org/jsdom/
Les attributs de navigator sont readonly en javascript, et ne peuvent
pas être modifié.
Cependant, si tu possède un bon navigateur, il doit être possible de
customizer le user agent (Opera ou Firefox)
Firefox: "about:config"
Puis cherche "useragent".
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez.
Pourquoi voudrais tu changer le nom du navigateur ?
Si c'est toi qui fait le site (ou tu voudrais insérer le Javascript),
c'est que tu pourrais gérer le PHP afin qu'il ne renvoie pas la même
chose, plutot que de te soucier de l'useragent.
Et je ne parle meme pas des navigateur qui n'ont pas d'useragent, ou un
useragent faux.
J'aimerais savoir s'il existe un moyen de modifier la valeur de HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la nouvelle valeur mise dans HTTP_USER_AGENT.
Bonjour, A priori, je dirais non. Pour la simple raison que le javascript ne s'éxécute que sur une page statique déjà téléchargée par le client. Or le HTTP_USER_AGENT est envoyé par le client des la requete. Ex:
- Le client tape dans son navigateur: http://www.google.com - La navigateur envoie à serveur de google: GET / HTTP/1.1 Host: www.google.com User-Agent: Firefox/1.0.3
- Le serveur fait son traitement en fonction, puis retourne la page HTML. - La navigateur transforme le code HTML récupéré en une page HTML (qui contient éventuellement le javascript), et c'est seulement à cemoment la que tu pourrais effectuer les modifications du user agent. C'est à dire longtemps après que ton navigateur l'ait envoyé.
Comme on peut le voir sur http://krook.org/jsdom/ Les attributs de navigator sont readonly en javascript, et ne peuvent pas être modifié. Cependant, si tu possède un bon navigateur, il doit être possible de customizer le user agent (Opera ou Firefox) Firefox: "about:config" Puis cherche "useragent".
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ? Si c'est toi qui fait le site (ou tu voudrais insérer le Javascript), c'est que tu pourrais gérer le PHP afin qu'il ne renvoie pas la même chose, plutot que de te soucier de l'useragent. Et je ne parle meme pas des navigateur qui n'ont pas d'useragent, ou un useragent faux.
Bye -- Thibault
Christophe Kiciak
Thibault TAILLANDIER wrote:
- Le serveur fait son traitement en fonction, puis retourne la page HTML. - La navigateur transforme le code HTML récupéré en une page HTML (qui contient éventuellement le javascript), et c'est seulement à cemoment la que tu pourrais effectuer les modifications du user agent. C'est à dire longtemps après que ton navigateur l'ait envoyé.
Oui, mais ça m'irait parfaitement : la valeur de l'user agent lors de la première requête m'importe peu. Du moment que j'arrive à changer cette valeur pour le clic suivant...
Comme on peut le voir sur http://krook.org/jsdom/ Les attributs de navigator sont readonly en javascript, et ne peuvent pas être modifié.
Ok merci, ce n'est donc pas possible en js.
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui l'affiche.
Thibault TAILLANDIER wrote:
- Le serveur fait son traitement en fonction, puis retourne la page HTML.
- La navigateur transforme le code HTML récupéré en une page HTML (qui
contient éventuellement le javascript), et c'est seulement à cemoment la
que tu pourrais effectuer les modifications du user agent.
C'est à dire longtemps après que ton navigateur l'ait envoyé.
Oui, mais ça m'irait parfaitement : la valeur de l'user agent lors de la
première requête m'importe peu. Du moment que j'arrive à changer cette
valeur pour le clic suivant...
Comme on peut le voir sur http://krook.org/jsdom/
Les attributs de navigator sont readonly en javascript, et ne peuvent
pas être modifié.
Ok merci, ce n'est donc pas possible en js.
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez.
Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui
l'affiche.
- Le serveur fait son traitement en fonction, puis retourne la page HTML. - La navigateur transforme le code HTML récupéré en une page HTML (qui contient éventuellement le javascript), et c'est seulement à cemoment la que tu pourrais effectuer les modifications du user agent. C'est à dire longtemps après que ton navigateur l'ait envoyé.
Oui, mais ça m'irait parfaitement : la valeur de l'user agent lors de la première requête m'importe peu. Du moment que j'arrive à changer cette valeur pour le clic suivant...
Comme on peut le voir sur http://krook.org/jsdom/ Les attributs de navigator sont readonly en javascript, et ne peuvent pas être modifié.
Ok merci, ce n'est donc pas possible en js.
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui l'affiche.
Thibault TAILLANDIER
Thibault TAILLANDIER wrote:
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui l'affiche.
Mdr, excellent :-) Et bien avec Firefox c'est possible de modifier. Mais peut-etre que lui filtre ce qu'il est possible de mettre. Attention si c'est en PHP derrière, la variable est $_SERVER['HTTP_USER_AGENT']. Si c'est en javascript, un XSS n'aura que peu d'intéret de toute facon.
NB: On notera évidemment que de telles méthodes sont MAL, et ne doivent pas être utilisées :-)
Bye -- Thibault
Thibault TAILLANDIER wrote:
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez.
Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui
l'affiche.
Mdr, excellent :-)
Et bien avec Firefox c'est possible de modifier. Mais peut-etre que lui
filtre ce qu'il est possible de mettre.
Attention si c'est en PHP derrière, la variable est
$_SERVER['HTTP_USER_AGENT'].
Si c'est en javascript, un XSS n'aura que peu d'intéret de toute facon.
NB: On notera évidemment que de telles méthodes sont MAL, et ne doivent
pas être utilisées :-)
Maintenant, c'est la que ma curiosté vient pointer le bout de son nez. Pourquoi voudrais tu changer le nom du navigateur ?
XSS sur une page qui ne filtre pas la valeur de l'user agent et qui l'affiche.
Mdr, excellent :-) Et bien avec Firefox c'est possible de modifier. Mais peut-etre que lui filtre ce qu'il est possible de mettre. Attention si c'est en PHP derrière, la variable est $_SERVER['HTTP_USER_AGENT']. Si c'est en javascript, un XSS n'aura que peu d'intéret de toute facon.
NB: On notera évidemment que de telles méthodes sont MAL, et ne doivent pas être utilisées :-)
Bye -- Thibault
Patrick Mevzek
J'aimerais savoir s'il existe un moyen de modifier la valeur de HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la nouvelle valeur mise dans HTTP_USER_AGENT.
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
J'aimerais savoir s'il existe un moyen de modifier la valeur de
HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un
lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la
nouvelle valeur mise dans HTTP_USER_AGENT.
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier
des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié)
qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le
navigateur avant l'envoi.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
J'aimerais savoir s'il existe un moyen de modifier la valeur de HTTP_USER_AGENT en javascript.
La finalité est de faire en sorte que lorsque l'on clique sur un lien/bouton/que_sais_je, le serveur de la page d'arrivée voie la nouvelle valeur mise dans HTTP_USER_AGENT.
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Christophe Kiciak
Patrick Mevzek wrote:
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée n'est pas écrasée par le navigateur.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette méthode ne change pas l'utilisateur de page, mais inclut le résultat de la requête sans recharger la page courante... pas top quand on cherche à faire du XSS ;-)
Quoi qu'il en soit, merci pour cette piste.
Patrick Mevzek wrote:
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier
des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié)
qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le
navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée
n'est pas écrasée par le navigateur.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette
méthode ne change pas l'utilisateur de page, mais inclut le résultat de
la requête sans recharger la page courante... pas top quand on cherche à
faire du XSS ;-)
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée n'est pas écrasée par le navigateur.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette méthode ne change pas l'utilisateur de page, mais inclut le résultat de la requête sans recharger la page courante... pas top quand on cherche à faire du XSS ;-)
Quoi qu'il en soit, merci pour cette piste.
Patrick Mevzek
Patrick Mevzek wrote:
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée n'est pas écrasée par le navigateur.
Ok, merci pour l'info.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette méthode ne change pas l'utilisateur de page, mais inclut le résultat de la requête sans recharger la page courante...
Avec DOM, il doit être possible de remplacer l'arbre actuel par l'arbre récupéré via xmlhttprequest.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Patrick Mevzek wrote:
Regardez du côté de xmlhttprequest et équivalent, où l'on peut
spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas
vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par
le navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée
n'est pas écrasée par le navigateur.
Ok, merci pour l'info.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette
méthode ne change pas l'utilisateur de page, mais inclut le résultat de
la requête sans recharger la page courante...
Avec DOM, il doit être possible de remplacer l'arbre actuel par l'arbre
récupéré via xmlhttprequest.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Regardez du côté de xmlhttprequest et équivalent, où l'on peut spécifier des en-têtes HTTP et *peut-être* (je ne sais pas, je n'ai pas vérifié) qu'on peut spécifier le User-Agent sans qu'il soit écrasé par le navigateur avant l'envoi.
Pour information : ça fonctionne. La valeur de l'user-agent modifiée n'est pas écrasée par le navigateur.
Ok, merci pour l'info.
Cependant, ce n'est pas exactement ce que je cherchais puisque cette méthode ne change pas l'utilisateur de page, mais inclut le résultat de la requête sans recharger la page courante...
Avec DOM, il doit être possible de remplacer l'arbre actuel par l'arbre récupéré via xmlhttprequest.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
