Discussoes de Programacao e Tecnologia

[Vraptor] Impedir acesso a URI por Browser

13 respostas
L
Lucas_Emanuel

Tenho um Controller com um método para deletar anotado com URI: /delete/id

No entanto, eu quero permitir acesso a ela somente internamente por JS, onde faço uma requisição delete.

Atualmente eu posso digitar no browser: www.dominio.com.br/delete/12 -> deleta o regsitro

Tem como bloaquear isso?

Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.

13 Respostas

rogelgarcia
rogelgarcia

Não.

JS é Javascript né? Você quer que seja possível apenas por AJAX… é isso?

Então a resposta é: não.

G
garcia-jj

Uma coisa que o Lucas da Caelum sempre me fala é para sempre que você for alterar o estado do objeto o GET não deve ser usado.

Para isso você deve anotar teu médodo com @Delete e usar um POST com o _method=DELETE.

rogelgarcia
rogelgarcia

garcia-jj:
Uma coisa que o Lucas da Caelum sempre me fala é para sempre que você for alterar o estado do objeto o GET não deve ser usado.

Para isso você deve anotar teu médodo com @Delete e usar um POST com o _method=DELETE.

É uma solução!!

Retiro meu não… ehehhehe

boneazul
boneazul

Lucas Emanuel:
Tenho um Controller com um método para deletar anotado com URI: /delete/id

No entanto, eu quero permitir acesso a ela somente internamente por JS, onde faço uma requisição delete.

Atualmente eu posso digitar no browser: www.dominio.com.br/delete/12 -> deleta o regsitro

Tem como bloaquear isso?

http://vraptor.caelum.com.br/documentacao/resources-rest/

L
lfcdtv

é possível implementar um interceptor para verificar se o usuário está com o javascript ativado a cada request?

rogelgarcia
rogelgarcia

Se você está perguntando, se é impossivel implementar um interceptor que diga se a requisição veio da url, ou de um javascript… aí sim… a resposta é: impossível (se as duas forem GET)

Por isso respondi não a primeira pergunta… mas como garcia-jj sugeriu, uma reestruturação da app faz com que a requisição tenha que ser feita por código, pois não é possível enviar um comando por requisição DELETE ou POST por digitação na url do browser (pelo menos dos browsers populares)

Você continua não sabendo se veio do javascript ou url do browser… mas como esse tipo de requisição (POST) não vem da url nos browsers populares é possível chegar a um comportamento desejável.

L
lfcdtv

Só quero verificar se o javascript está ativado no browser com um interceptor.

R
Renato_Machado

garcia-jj:
Uma coisa que o Lucas da Caelum sempre me fala é para sempre que você for alterar o estado do objeto o GET não deve ser usado.

Para isso você deve anotar teu médodo com @Delete e usar um POST com o _method=DELETE.

Você pode alterar quantos objetos quiser em um método GET, o que não deve alterar é o estado do resource.

R
Renato_Machado

Lucas Emanuel:
Tenho um Controller com um método para deletar anotado com URI: /delete/id

No entanto, eu quero permitir acesso a ela somente internamente por JS, onde faço uma requisição delete.

Atualmente eu posso digitar no browser: www.dominio.com.br/delete/12 -> deleta o regsitro

Tem como bloaquear isso?

Só configurar o AJAX com o header User-agent e fazer a verificação do mesmo no lado servidor.

L
Lucas_Emanuel

Renato Machado:
Lucas Emanuel:
Tenho um Controller com um método para deletar anotado com URI: /delete/id

No entanto, eu quero permitir acesso a ela somente internamente por JS, onde faço uma requisição delete.

Atualmente eu posso digitar no browser: www.dominio.com.br/delete/12 -> deleta o regsitro

Tem como bloaquear isso?

Só configurar o AJAX com o header User-agent e fazer a verificação do mesmo no lado servidor.

Oi Renato, deixa ver se entendi. Seria mais ou menos assim:

No meu JS:

//Ajax para deletar o registro selecionado
$.ajax({	
					
	beforeSend: function(xhr) {
			xhr.setRequestHeader("Ajax","ajax");
	},
	type: "DELETE",
	url: $(this).attr("href")
					
});

E no meu Controller faço a verificação:

if(request.getHeader("Ajax").equals("ajax")){
	dao.delete(dao.byId(id));
}

Pelo menos deu certo, permitindo a exclusão somente por Ajax. Quando tento por URL ele retorna 500 causado por NullPointer na no getHeader.

Agora a pergunta: Essa solução seria a correta? OU a solução proposta por garciajj seria mais adequada? POG?

L
Lucas_Emanuel

Eu não posso simplesmente anotar o método de remoção do Controller com @Delete("/delete/{id}")

E no JS colocar:

//Ajax para deletar o registro selecionado
				$.ajax({	

					type: "DELETE",
					url: $(this).attr("href")
					
				});

Dessa forma a tentativa de acessar por URL retorna 405, e por Ajax exclui normalmente.

ps. Só nao testei no IE

R
Renato_Machado

Lucas Emanuel:

Pelo menos deu certo, permitindo a exclusão somente por Ajax. Quando tento por URL ele retorna 500 causado por NullPointer na no getHeader.

if(request.getHeader("Ajax") && request.getHeader("Ajax").equals("ajax")){  
    dao.delete(dao.byId(id));  
}
L
Lucas_Emanuel

Renato Machado:
Lucas Emanuel:

Pelo menos deu certo, permitindo a exclusão somente por Ajax. Quando tento por URL ele retorna 500 causado por NullPointer na no getHeader.

if(request.getHeader("Ajax") && request.getHeader("Ajax").equals("ajax")){  
    dao.delete(dao.byId(id));  
}

Bacana, deu certo.

Criado 7 de julho de 2011
Ultima resposta 11 de jul. de 2011
Respostas 13
Participantes 6

Topicos relacionados

Componente de forum 4 respostas Consultar CPF pelo nome na Receita Federal 5 respostas Pegadinhas que se fazem com os pobres estagiários 62 respostas [Resolvido] Como comparar Strings em C? 6 respostas Converter pixels para centímetros 9 respostas
Casa do Codigo Casa do Codigo — Livros de tecnologia Livros de programacao, infraestrutura e inovacao
Lumina Lumina: a IA que te traz resultados Prompts prontos por especialistas. Resolva seus problemas de verdade.