Q&A
ログインしていないときにJavaScriptのファイルを読み込ませたくないのはなぜですか?会員制サイトで重要な情報はサーバー側のデータベースに入っているはずですよね?
前提・実現したいこと
会員サイトを作っています
ログインしていた場合にJavaScriptの外部ファイルを読込/実行するものですが、
ログインしていない場合には実行できないようにするといった処理はどのようにできるのでしょうか
.jsファイルにはPHPが書けない為、判定方法がわかりません
ページのデザインを全てjsでappendしてます
(ログイン後のdivの配置などのデザイン)です
ログインしていないのにそれが読まれるとログイン後のデザインが読み込まれてしまいます
重要な情報は入れておりません
ログイン前とログイン後のデザインです
phpでhtmlのscript読み込み記述を入れるか入れないかスイッチングすればいいのではないですか?
外部ファイル.jsを使いたい、使えば外部ファイルの場所ばれる、
無理じゃないですか?
場所がばれて、コンソール上から叩かれたら、終わりませんか
(実際にはログイン識別はされないにしろ、ログイン後のデザインは出せてしまう)
へー、そこまで考えるってことはSNSじゃなくてソシャゲ系なのかな?ソシャゲならゲーム要素絡むからスクリプトがばれるとちとまずいかもね。そこまでこった作りをするなら逐次HTML, CSSやJavaScriptの記述をechoで流し込んで行くのがベターだと思われ。
回答4件
0
PHPでログインできているのかをまず判定してやり、できている場合JSを返すという想定です。
PHP
1<?php 2if($_SESSION['login_flag']=="on"){ 3$data = file_get_contents(見えちゃいけないJSファイルの場所); 4echo '<script>'.$data.'</script>'; 5} 6?>
javascript
1// 見えちゃいけないJSファイル 2alert("見えたらあかんよ");
投稿2020/07/17 14:51
編集2020/07/17 14:52
総合スコア36
echo '';にスクリプトを書くやり方でしたら、1番最初に考えてましたが、
まず、.jsにまとめたい
.jsとして実行させたいが、ログインしていない状態でも読める、
何か方法は無いかなとのつもりの投稿でした
要は<script src="script.js"></script>をログインしてないなら無効化させたいということでした
.jsに書く記述では無理なんでしょうね・・・
.jsにphpが直接記述できない以上、無理か
そうですね、ちょっと認識に相違があったようです。
ほかにできることといえばログインしたときにcokieになにか書いとくこととかでしょうか。
これもわざと悪意を持ってやれば通っちゃうっていう意味では上と変わらない気もしますが。
0
それが何の意味があるかわかりませんが、js用のローダーをphpでつくって
HTML
1<script src="loadjs.php"></script>
などのように読めばよろしいのでは?
投稿2020/07/17 13:00
総合スコア116724
ローダー自体はセッションなどでロードの可否をきめればいいでしょう
もしログインしてない場合でも、コンソール上から動的にScriptを生成したら、ログインした場合のjs処理が実行されたりしませんか?
あ、すみません。今一度理解しなおします。
ログインとかしてなかったらloadjs.phpが404とか500エラーを返す前提ですよ
動くかだけ見てみたのですが、
動かないようなのですが
<script src="loadjs.php"></script>
loadjs.php
<?php
echo '<script type="text/javascript" src="script.js">';
?>
echo '<script type="text/javascript" src="script.js">';
で出力しないとどのみち実行できませんよね?
>もしログインしてない場合でも、コンソール上から動的にScriptを生成したら、ログインした場合のjs処理が実行されたりしませんか?
↑この問題は解消されなくないですか?
コンソールからscript.jsが動的に作られた場合、ログイン済である処理が再現できてしまいませんか?
.phpを通して.jsをロードしたとしてもです
簡単な例をあげると<script src="loadjs.php"></script>を通そうが直書きしようが、.jsの場所がわかれば、悪意あるユーザーがロードできてしまいませんか
if($_SESSION['login_flag']=="on"){
echo '<script type="text/javascript" src="script.js">';
}
割り込み失礼します。
Jsファイルを公開範囲外のディレクトリにおいてログイン時のみの処理としてphpで該当ファイルを読みにいくようにすればいけませんか?
>ログイン時のみの処理としてphpで該当ファイルを読みにいくようにすればいけませんか?
すみません、簡単なものでいいのでどのような書き方になりますか?
> すみません、簡単なものでいいのでどのような書き方になりますか?
まず自分で調べましょう
いやいや、スクリプトタグを書くのではなくスクリプトファイルを読み込んで
テキストとして返すんです
そもそもsrcに指定したファイルがscriptタグを呼ぶなんてありえませんから・・・
この部分が意味わかりません
>スクリプトファイルを読み込んでテキストとして返す
script.jsにはjavascriptが書かれていているのにテキストで返すんですか?
実行結果は得られませんでしたが、返されたテキストはどうやって実行させるんでしょうか(-ω-;)
<script src="script.php"></script>
script.php
↓
<?php
echo '<script>
window.onload=function(){
alert("test");
}
</script>';
?>
こういう形で考えてました
<?php
if($_SESSION['login_flag']=="on"){
$data = file_get_contents(公開ディレクトリじゃないJSの置き場所);
echo '<script>'.$data.'</script>';
}
?>
動きませんでしたが、こういうことですか?
<?php
if($_SESSION['login_flag']=="on"){
$data = file_get_contents("path~/script.php");
echo '<script>'.$data.'</script>';
}
?>
script.php
↓
window.onload=function(){
alert("test");
}
px1-altnoiさんのコメント通りにするなら、読み込むファイルはphpである必要はありません。
textでもjsでもなんでもいいです。
> 動きませんでしたが
どう動かなかったのでしょうか?
仮でつけたif($_SESSION['login_flag']=="on"){}を外すの忘れてました
動きましたすみません
すみません、長くなってわかりづらくなってしまうと思うので回答の方に移動します。
0
ログイン前とログイン後のHTMLの構成は同一なのでしょうか。
違うのであれば、ログイン後にはログイン後のHTMLが読み込まれるのでそのタイミングでログイン後のJSを読み込み実行させれば良い気がするのですが。
当然読み込み後のJSは開発ツールから閲覧はされてしまいます。しかしユーザによるJSファイルのロードはサーバー側で拒否することはできないのでしょうか。
投稿2020/07/17 16:59
総合スコア271
0
php
1<?php 2$loginFlg = なんやかんやでログインしてるかを取得した論理値; 3if($loginFlg) { ?> 4<script src="script.js"></script> 5<?php } ?>
投稿2020/07/17 14:17
編集2020/07/17 14:19総合スコア9555
それって↓と同じでは?
簡単な例をあげると<script src="loadjs.php"></script>を通そうが直書きしようが、.jsの場所がわかれば、悪意あるユーザーがロードできてしまいませんか
if($_SESSION['login_flag']=="on"){
echo '<script type="text/javascript" src="script.js">';
}
あ、そうですね。
yambejpさんの回答を参考にされてください。
あなたの回答
tips
プレビュー
