25-07-2013, 04:53 PM
Ouais, ok, l'argument n'est franchement pas étoffé, mais les spécifications sont ainsi rédigées. Si la spécification devait se dire "mais si le serveur 1 n'est pas tout à fait intègre, je fais quoi?", alors elle ne ferait pas 50 mais 5.000 pages.
- Une sécurité car le serveur 1 envoie le code javascript disant "hé, navigateur web, va demander tel truc à serveur 2 et laisse-moi le lire"
- Une sécurité car le serveur 1 envoie ton header http disant "hé, navigateur, j'ai le droit de t'envoyer chercher des trucs uniquement sur serveur 2"
Et les deux ne sont pas complémentaires, mais redondantes: en l'absence de code javascript, le navigateur ne va pas interroger serveur 2. La 2e sécurité est donc un second verrou inutile, puisque le premier est suffisant.
Alors, peut-être t'es-tu mal exprimé, ou peut-être n'ai-je pas tout compris?
Citation :c'est une sécurité qui fonctionne en deux parties.Alors, c'est que je n'ai pas compris ton propos. Là, pour moi, tu as:
- Une sécurité car le serveur 1 envoie le code javascript disant "hé, navigateur web, va demander tel truc à serveur 2 et laisse-moi le lire"
- Une sécurité car le serveur 1 envoie ton header http disant "hé, navigateur, j'ai le droit de t'envoyer chercher des trucs uniquement sur serveur 2"
Et les deux ne sont pas complémentaires, mais redondantes: en l'absence de code javascript, le navigateur ne va pas interroger serveur 2. La 2e sécurité est donc un second verrou inutile, puisque le premier est suffisant.
Alors, peut-être t'es-tu mal exprimé, ou peut-être n'ai-je pas tout compris?