- ベストアンサー
javascriptファイルの運用
お世話になります。 PHP + HTML + javascript(Ajax)で開発しております。 javascriptは外部ファイルにしておりますが HTMLページのダウンロードをユーザーにされると javascriptの内容が分かってしまいます。 ただのHTMLの操作だけだったら構わないのですが ajaxから登録、更新、削除などしておりますので、PHPにどういうパラメータを渡して 、、、という情報が丸見えになるのですが、 こういう場合、皆様はどのように運用しているものなのでしょうか? ご教授宜しくお願い致します。
- bakenshibakenshi
- お礼率81% (115/141)
- JavaScript
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
javascriptはクライアントサイドの技術なので、 外部ファイルだろうがHTMLに直接書き込もうが 見えて当然です。 スクリプト事態は見られる前提でかき、 守秘性が重要な部分はPHPでサーバー側に処理させます
その他の回答 (3)
- todo36
- ベストアンサー率58% (728/1234)
> ajaxから登録、更新、削除などしておりますので、PHPにどういうパラメータを渡して 、、、という情報が丸見えになるのですが、 javascriptのコードを追うより HTMLモニタソフト(たとえばinetspy/横取り丸)で見れば、簡単に分かるでしょう。
お礼
todo36様、ご教授有難う御座います。 >HTMLモニタソフト(たとえばinetspy/横取り丸)で見れば、簡単に分かるでしょう。 そういうものもあるんですね。 知りませんでした。 ということはjavascriptに限らず、パラメータで渡しているものは 取得しようと思えば取得されると。
- 神崎 渉瑠(@taloo)
- ベストアンサー率44% (1016/2280)
サーバー側のアプリケーション(PHPスクリプト)で、 データの整合性や、テイント(taint。そのデータに危険なコードなどが含まれていること)のチェックを行わなければなりません。 (JavaScriptは基本的に見られて当然で開発する物ですし、 CGIカテゴリーで質問された方が良かったと思います) 「CGI セキュリティー」や「CGI テイント」などで検索してみると、解説されているサイトがあると思います。 参考URLはPHPのサンプルコードはありませんが、セキュリティー対策の考え方としては同じです。 Perlの $query->param('name'); というのはPHPの _POST['name'] とほぼ同意、あとはだいたい読めると思います。
補足
taloo様、ご教授有難う御座います。 CGIカテゴリーの方が良かったですか。 以後、気をつけます。 あと参考URLを見て、勉強させていただきます。(あまり時間がないですが・・・) どうもありがとう御座いました。
- toshi_p_q
- ベストアンサー率40% (2/5)
.htaccess を使用する方法があります。
お礼
toshi_p_q様、ご教授有難う御座います。 .htaccessで制限かけるのも手ですね。
お礼
yambejp様、ご教授有難う御座います。 やはりjavascriptは見られて当然なんですね。 コメントを付けようか付けまいかも悩んでしまいます。 外部javascriptからもう一回javascriptを呼ぶというのはやっぱりダメなんでしょうねぇー。 javascriptからはPHPを呼んでいるだけなので、 どのPHPを呼ばれているかがわかるのが嫌だったんです。