Modifica file xml

[alka]

Ho pensato che per modificare il file xml, debba per forza passare da php che risiede su un altro server. Php non lo posso installare su quello in cui sto smanettando attualmente con js. E dunque, per far ciò, dovrò effettuare una richiesta POST in js. E fino qua mi è tutto chiaro...

Se non hai a disposizione una pagina lato server che gestisca le modifiche al file XML per tuo conto, l'unica cosa che puoi fare è abilitare la modifica dei file via HTTP, ossia consentire lato server che tramite HTTP POST sia possibile inviare al server un file XML aggiornato da sostituire al precedente, utilizzando il protocollo HTTP quasi come fosse simile a un FTP, in breve consentendo a qualsiasi client di aggiornare la risorsa indicando il percorso, il comando (POST) e i dati da scrivere nel file.

Per quanto ne so e per quanto io ne possa capire, js è in chiaro sulle pagine.

JavaScript è in chiaro ma può essere offuscabile, tuttavia la richiesta HTTP è visibile facilmente premendo F12 e osservando qualsiasi interazione della pagina con il server.

Ora, per effettuare la richiesta POST, nella mia pagina dovrò inserire il link, e relativi parametri. Se io questa cosa la posso fare da un server ad un altro, ciò che mi perplime è che la può fare chiunque, semplicemente guardando il codice nella mia pagina.

Il codice della pagina è irrilevante: comunque si arrivi alla richiesta POST tramite codice, quella che è visibile è appunto l'operazione di POST con l'indirizzo del file XML e i dati inviati, nel momento in cui avviene, quindi chiunque può replicarla specificando dati differenti.

Prenderebbe il mio stesso codice ed effettuerebbe la stessa richiesta allo stesso indirizzo.

Non è necessario avere il codice: basta usare cURL o un qualsivoglia altro tool per fare la stessa richiesta che si vede partire dalla pagina, mettendo l'indirizzo del file XML e i contenuti desiderati.

Ed ecco qui che mi ha modificato il file. Dico bene?! Quindi come posso evitare questa cosa?

L'unico modo per ovviare è introdurre lato server un controllo in base alle caratteristiche del server Web: ad esempio, si potrebbe sottoporre l'accesso alla risorsa a una protezione con utente e password, così che l'operazione sia fattibile da chiunque abbia le credenziali per poterlo fare.

Stiamo esaminando uno scenario dove non è presente alcun codice di gestione della richiesta e dove è abilitato l'aggiornamento diretto di una risorsa tramite HTTP: non è che ci siano chissà quante soluzioni...