przesyłanie plików i danych pośrednio.

Question

Witam serdecznie, czy jest możliwość za pomocą inputa type "file" przesyłanie pośrednio pliku z naszej strony na inną która "się spodziewa plików z naszej strony", nie angażując do tego naszego serwera. Nie tworząc specjalnych skryptów pod moją stronę, tylko przesyłać to przykładowo postem lecz metodą uniwersalną. A nadanie uprawnień odbywać się będzie tylko na stronie do której wysyłam plik?

Przykład:

<form action="stronadoktorejprzesylam.pl/skrypt.php" enctype="multipart/form-data">
	<input type="file" name="nazwa" />
</form>

A od strony serwera do którego przesyłam nadanie uprawnień. Czy jest to możliwe?
Najbardziej zastanawia mnie przesyłanie wyglądające tak: dysk lokalny >> serwer docelowy lecz z ominięciem przesyłania dysk lokalny >> mój serwer >>serwer docelowy. Ponieważ serwer docelowy chce przesłania pliku, a chodzi tylko aby w pośredniczącym dodać input aby przesłać plik na serwer docelowy z ominięciem dublowania przesyłania plików i aby transfer na moim serwerze nie pobierał się w przypadku przesyłania, więc pewnie nadanie uprawnień się przyda

Answer 1

Jeśli dobrze rozumię to chcesz na swoim serwerze dać stronę z formularzem, który będzie wysyłał dane do serwera docelowego.

Teoretycznie jest to możliwe.

Trzeba by w formularzu dać w polu "action=" pełny adres do strony na serwerze docelowym.

Formularz musiał by też zawierać wszystkie inne pola, które znajdują się w formularzu na serwerze docelowym.

I to może być problem. Serwer docelowy może generować losową liczbę, zapamiętywać ją u siebie w sesji użytkownika i jednocześnie umieszczać ją w formularzu. Po odebraniu formularza może sprawdzać czy te liczby się zgadzają i dopiero wtedy pozwalać na załadowanie pliku. Dla formularza pobranego z twojego serwera nie znajdzie nawet sesji danego użytkownika - bo użytkownik wcześniej nie wchodził na ten serwer docelowy.

Inna sprawa, że jak formularz pobrany z twojego serwera zawiera adres do innego serwera to tamten serwer w odpowiedzi na dane z formularza odeśle swoją stronę - użytkownik zostanie całkowicie przekierowany na serwer docelowy.

Answer 2

Tak, da się. O ile serwer docelowy takie coś dopuszcza. W "action" podajesz de facto adres, pod który przeglądarka wysyła dane, tak więc to może być cokolwiek, co przeglądarka zrozumie. Często duże strony jednak w ogóle nie dopuszczają czegoś takiego, ponieważ w formularzach generowanych na ich stronach znajdują się tokeny identyfikujące sesję. Jeśli wysyłasz coś z zewnątrz, to serwer tego nie przyjmie.

Zainteresuj się, czy serwis docelowy posiada może specjalne API na taką okoliczność - bo może posiadają i nie trzeba kombinować. Wystarczy tylko przesłać dane w ściśle ustalony sposób i będzie po problemie :)

Comments

Rozumiem, a jak na serwerze docelowym(B). Ograniczyć przyjmowanie danych tylko do serwera A oraz do ścieżki a. Przykładowo ma on domenę example.pl/a

Answer 3

Bardzo mi zależy na odpowiedzi. :)

Comments

takie trywialne pytanie: a próbowałeś zgrać z serwera docelowego stronę z formularzem i umieścić ją na swoim serwerze ?

Oczywiście w polu "action=" może być potrzeba dodania pełnej nazwy serwera docelowego "http://serwer_docelowy.pl/".

Answer 4

Rozumiem, lecz mówimy tutaj o sytuacji w której "moja strona jest proszonym gościem" i uniwersalnie jak w takim przypadku przesyłać dane i odbierać? Czy istnieją specjalne zezwolenia, aby dany serwer mógł wysyłać dane do serwera docelowego?
Czy w tym przykładzie:

<form action="stronadoktorejprzesylam.pl/skrypt.php" enctype="multipart/form-data">

    <input type="file" name="nazwa" />

</form>

To jest umieszone na stronie A, a plik wysyłam do strony B. Czy w takim przypadku ze strony A na której jest umieszczone nie będzie pobierany transfer za wysłanie pliku, a plik trafi bez pośredników od użytkownika do strony B? Czy w tym przypadku Będzie to wyglądało tak : user > A(nasza) > B(docelowa) czy może user > B(docelowa) ??

 

Comments

Jeśli w atrybucie action podasz adres do jakiejś innej strony, to formularz zostanie tam wysłany.

---

Więc mimo że mam umieszczony formularz na stronie A, plik zostanie wysłany bezpośrednio do strony B. Tak? :)

---

Tak, ponieważ formularz ten nie będzie miał żadnego powiązania z jakimkolwiek skryptem znajdującym się na twoim serwerze. Bo w końcu wysyłasz go gdzie indziej, prawda?

Transfer pliku na stronę docelować nie będzie dotyczył twojego serwera. Tranfer z twojego serwera będzie jedynie dotyczył wyświetlenia formularza w przeglądarce.

Answer 5

Jeśli mogę zapytać już całościowo nie zakładając kolejnego pytania. Czy język html5 oraz css jest w pełni bezpieczny dla mojej strony gdy dam możliwość tworzenia w specjalnym oknie mojej strony użytkownikowi swoją część strony? Jakim sposobem zablokować możliwość edytacji css'em reszty strony. Tylko daną część, przykładowo plik html i css będzie jakby includowany do danego diva. W zależności od tego na jaką stronę użytkownika trafiłem.

Comments

W tworzeniu stron nie masz innego wyboru niż HTML i CSS.

Ale wydaje mi się, że mylisz pojęcia. HTML jest językiem do przedstawiania zawartości strony. Bezpieczeństwo to zaś problem jak napiszesz kod w językach programowania jak PHP, Python czy Ruby.

Problem bezpieczeństwa może być bardzo rozległym zagadnieniem więc między innym dlatego ludzie tworzą frameworki aby inni nie musieli przez pewne sprawy przechodzić i na nowo wszystko odkrywać (i popełniać błędy z braku pełnej wiedzy o zagadnieniu).

Answer 6

Jakim sposobem ograniczyć przyjmowanie danych tylko do serwera A oraz do ścieżki a. Przykładowo ma on domenę example.pl/a?

Comments

Ale co konkretnie chcesz zrobić bo nie jest to jasne ?

Chcesz aby Twój formularz wysyłał dane na serwer A do katalogu 'a' ?

A czy formularz na serwerze A pozwala podać miejsce docelowe 'a' ?

Jeśli nie pozwala to nic nie zrobisz.

---

Chodzi o to aby każda strona nie mogła wysyłać sobie POSTÓW, tylko jedna jedyna w tym przypadku example.pl/a. Jak ubrać w kod takie ograniczenie? :)

---

Teraz rozumie - na swoim serwerze chcesz przyjmować POSTy tylko z adresu http://example.pl/a .

Protokół HTTP przewiduje w nagłówku pole `referer`, w którym przeglądarka powinna przesłać adres strony, z której przychodzi na Twój serwer. 

https://pl.wikipedia.org/wiki/HTTP_referer

Oczywiście zawsze można stworzyć własny skrypt, który będzie wysyłał POSTy udając, że przychodzi z http://example.pl/a :)

---

Tak, wiem. Lecz to rozwiązanie nie sprawdziłoby się nawet w przypadku małej strony. Bo to zabezpieczenie nie jest zabezpieczeniem. :)
Myślę że dużo lepiej dodać coś w stylu generowanego jednorazowego tokenu, który strona A(czyli moja, wysyłająca plik) wysyłałaby, a strona B podrównywała z oryginałem.

---

A ja zrozumiałem, że mówisz o dwóch osobnych serwerach - formularz ze strony http://A/a ma wysyłać do serwera B.

W przypadku stron na jednym serwerze to chyba standardowym jest jednorazowy "Csrf Token". Niektóre frameworki to mają nawet wbudowaną obsługę tego tokena w formularzach.
 

https://pl.wikipedia.org/wiki/Cross-site_request_forgery