من از تصاویر امنتی در یک صفحه استفاده کردم
صفحه تولد کد امنیتی من Sec_Code.aspx می باشد

و Scr کنترل IMG1 برابر Sec_Code.aspx می باشد

حال یه دکمه کنار تصویر امنیتی ایجاد شده در یکی از صفحاتم قرار دادم چطور میتونم بدون اینکه کل این صفحه رفلش بشه تصویر امنیتی با فشار دادن اون دکمه رفلش بشه !؟

از کنترل های Ajax هم استفاده نشه

از جاوااسکریپت استفاده کن
یه باتن بساز و تو کلیکش src عکس رو رندم تغییر بده

یه باتن بساز و تو کلیکش src عکس رو رندم تغییر بده


یعنی چی رندم ؟ IMG1 باید رفلش بشه

خوب منم همینو میگم.
منظورم اینه که عبارت داخل عکس باید رندم تولید بشه

مشکل سر رفلش کردن IMG1 هستش کاری به تولید رندم نداره این کار ها رو Sec_Code.aspx
خودش انجام میده

مجبوری از Ajax استفاده کنی

مجبوری از Ajax استفاده کنی
دوست عزیز مواردی هم هست که بدون آژاکس حل شود، لطفا سر هر موضوعی استفاده از آژاکس را پیش کش نکنید.




مشکل سر رفلش کردن IMG1 هستش کاری به تولید رندم نداره این کار ها رو Sec_Code.aspx
خودش انجام میده

ببینم مگه شما نمیگید که Src عکستون به Sec_Code.Aspx اشاره میکنه؟
خوب هر بار که Src عکس رو به هموان لینک دوباره ست کنید خودش ریفرش میشه، نیازی نیست که شما دستی رفرش کنید:


btnChangCode.onclick = function () {
img1.src = "Sec_Code.Aspx";
}

البته در حالت عادی با پست بک مشکل حل میشه



ببینم مگه شما نمیگید که Src عکستون به Sec_Code.Aspx اشاره میکنه؟
خوب هر بار که Src عکس رو به هموان لینک دوباره ست کنید خودش ریفرش میشه، نیازی نیست که شما دستی رفرش کنید:


شما خودتون تست بفرمایید خواهید دید که نمیشه !

شما خودتون تست بفرمایید خواهید دید که نمیشه
من که خودم جواب گرفتم.
میتونید کدهاتون رو بذارید تا بررسی بشه؟

اگر اشتباه می کنم بگید
برای اینکه عکس جدید جایگزین بشه باید stream از طرف سرور فرستاده بشه.این دو حالت داره یا اینکه صفحه کلا رفرش بشه یا با استفاده از AJax فقط اون Image رفرش بشه؟

برای اینکه عکس جدید جایگزین بشه باید stream از طرف سرور فرستاده بشه.این دو حالت داره یا اینکه صفحه کلا رفرش بشه یا با استفاده از AJax فقط اون Image رفرش بشه؟
من که با جاوااسکریپت مشکلی ندارم.
نمیدونم چرا دوستان اینقدر میخوان که حتما از آژاکس استفاده کنن.
آژاکس خوبه ولی باید بجا استفاده بشه

میتونید از این لینک ایده بگیرید:
http://barnamenevis.org/forum/showthread.php?t=89356
,
http://barnamenevis.org/forum/showthread.php?t=86893

نمیدونم چرا دوستان اینقدر میخوان که حتما از آژاکس استفاده کنن.
آژاکس خوبه ولی باید بجا استفاده بشه

آخه وقتی راه دیگه جز رفرش کل صفحه و Ajax نیست چیکار میشه کرد.میشه لطف کنی توضیح کلی بدی که شما چطوری با Javascript تصویر امنیتی رو عوض می کنی.

عزیزم اون لینکهایی که تو پست قبلی گذاشتم خیلی کمکتون میکنه
وقت کردین نگاه بکنید
میتونید ایده بگیرید

عزیزم اون لینکهایی که تو پست قبلی گذاشتم خیلی کمکتون میکنه
وقت کردین نگاه بکنید
میتونید ایده بگیرید


هر دو لینک رو نگاه کردم هر دو سرور سایت بودن من میخواستم با جاوا اسکریپت باشه مگه نه شما کافی یه باتن بی خود رو صفحه بزارید روش که کلیک میکنید خود به خود تصویر امنیتی رفلش میشه

خوب باید هم سرور ساید باشه.
روش کار اینجوریه که عکس امنیتی تو سرور ایجاد میشه ولی ما با جاوااسکریپت اون عکس رو از سرور میخونیم و نمایش میدیم
شما لطف کنید کدهاتون رو بذارید تا بررسی بشه

خوب باید هم سرور ساید باشه.
روش کار اینجوریه که عکس امنیتی تو سرور ایجاد میشه ولی ما با جاوااسکریپت اون عکس رو از سرور میخونیم و نمایش میدیم
شما لطف کنید کدهاتون رو بذارید تا بررسی بشه


نه روش کار اینطوری نیست خوب اگه قرار پست بک شه خود به خود رفلش میشه چه لزومی به جاوا اسکریپت هست؟ برای نمایش تصویر هم از جاوا اسکریپت استفاده نمیشه از یه کنترل img استفاده میشه احتمالا همون روش ajax درسته

اما واقعا نمیشه یه کنترل img رو از طریق javascript رفلش کرد؟

ببین دوست عزیز
شما یه فرم درست کنید که یه عکس امنیتی درست کنه و تو Stream بندازه.
مثلا http://localhost/secimage/imagegenerator.aspx
حالا تو یه فرم دیگه یه عکس بذار و Src عکس رو روی به اون لینک قرار بده.
اگه تا اینجا درست اومده باشی میتونی یه باتن زیر عکس بذاری و توی OnClientClick ش بنویسی ChangePic


<script language="javascript">
function ChangePic()
{
document.getElementById("img1").src = document.getElementById("img1").src;
}

این کار باعث میشه که عکس شما دوباره لود بشه ولی حالا هنگام لود شدن اون فرمی که ساخته بودین یه عکس دیگه رو برای شما میفرسته.
من این کار رو بارها و بارها انجام دادم و نتیجه گرفتم

function ChangePic()
{
document.getElementById("img1").src = document.getElementById("img1").src;
}
function Button1_onclick() {
ChangePic()
}


تست کردم نشد!

ممکنه شما از یه باتن Standard استفاده کرده باشد که پست بک میشه ! در نتیجه بدون اون کد های شما هم رفلش میشه

شما کدهاتون رو بذارید تا بررسی بشه
حتما یه مشکلی تو کارتون هست
من جواب گرفتم، پست بک هم نمیشه.فقط عکس عوض میشه

دوست عزیز تنها راه این کار استفاده از ajax است . حال اگر شما از این کار خوشتان نمیآید نباید از کدهای جاوا استفاده کنید .
در صورتی که کدهای جاوا استفاده شود تصاویر امنیتی مفهوم خود را از دست خواهند داد.
همان طور که میدانید Java سمت کلاینت فعالیت می کند ( البته بجز در موارد خاص ) وقتی شما قرار است که با جاوا تصاویر را به صورت تصادفی نمایش دهی تمامی کدها سمت کلاینت در حال کار هستند پس کاربر به راحتی میتواند تصویر امنیتی را دور بزند.

دوست عزیز تنها راه این کار استفاده از ajax است .
تنها راه نیست، یکی از راهها است.
در ضمن، تصور شما از آژاکس چیست؟ مگر آژاکس همان جاوااسکریپت نیست که دیگران زحمت آن را برای شما کشیده اند.
حال چه فرقی دارد که این کد توسط شما نوشته شده و یا توسط دیگران.

همان طور که میدانید Java سمت کلاینت فعالیت می کند ( البته بجز در موارد خاص ) لطفا موارد خاص را توضیح دهید ما هم بدانیم.


وقتی شما قرار است که با جاوا تصاویر را به صورت تصادفی نمایش دهی تمامی کدها سمت کلاینت در حال کار هستند پس کاربر به راحتی میتواند تصویر امنیتی را دور بزند
تمامی کار ها در سمت سرور انجام میپذیرد ولی لود شدن عکس توسط جاوااسکریپت و یا همان آژاکس شما.
کمی در مورد وب سرویس ها و تبادل اطلاعات با انها تحقیق کنید.

مگر آژاکس همان جاوااسکریپت نیست که دیگران زحمت آن را برای شما کشیده اند.
حال چه فرقی دارد که این کد توسط شما نوشته شده و یا توسط دیگران.


:لبخند:منم همین رو گفته بودم که شما رد کردی دیگه عزیز برادر.

مجبوری از آژاکس استفاده کنی .

برای اینکه عکس جدید جایگزین بشه باید stream از طرف سرور فرستاده بشه.این دو حالت داره یا اینکه صفحه کلا رفرش بشه یا با استفاده از AJax فقط اون Image رفرش بشه؟

من گفته شما رو رد نکردم:

نمیدونم چرا دوستان اینقدر میخوان که حتما از آژاکس استفاده کنن.
آژاکس خوبه ولی باید بجا استفاده بشه
من گفتم که وقتی با دو سه خط کد میشه همون آژاکس رو بصورت خیلی ساده پیاده سازی کرد، چه نیازی به استفاده از تمام آژاکس است؟

تست کردم نشد!

ممکنه شما از یه باتن Standard استفاده کرده باشد که پست بک میشه ! در نتیجه بدون اون کد های شما هم رفلش میشه

به جای خط کد ابولفضل عزیز از این استفاده کن.

document.getElementById("image1").src = "simage.aspx?"+Math.random();

که simage عکس رو خروجی میده و sesiion رو ست می کنه.اگه حل نشد آموزش بذارم؟

سلام به همه دوستان
حق با جناب آقای abolfazl هست نیازی به استفاده از ajax نیست شما یا باید همون کاری که آقای abolfaz فرمودند بکنید یعنی با javascript دوباره src تصویر را ست بکنید فقط مشکلی هست که باید یه پارامتری رو به صورت random طبق گفته دوستمون milar بزارید تا حالت cache در سرور اتفاق نیفته و عکس جدیدی درخواست کنید

راه دیگه ای هم که هست دوستان اشاره نکردند استفاده از iframe هاست تو این صورت هم میتونید بدون refresh کل صفحه فقط تصویر رو refresh کنید که در این صورت حالت caching هم رخ نمیده و نیازی به یه پارامتر random نیست
موفق باشید

دوست عزیز تنها راه این کار استفاده از ajax است .


یه راه بهتر از آژاکس اینه که ازاینتر فیس ICallbackEventHandler که تو دات نت تعبیه شده استفاده بشه! اینم لینک مقاله اش
http://barnamenevis.org/forum/showthread.php?t=52380

کافیه تو صفحه ای که عکس رو تولید میکنی، اون عدد رندوم رو تو
یه سیشن ذخیره کنید و بعد هم با کد وارد شده از سمت کلاینت مقایسه
کنید! فقط کافیه اولین مثال این مقاله رو با دقت بخونید!

اگه اینطوری که میگید باشه از وب سرویس هم میتونید برای این کار استفاده کنید.

یه خط جاوا اسکریپت میخواد و 2 3 خط هم سرور ساید پروگرمینگ

یه راه بهتر از آژاکس اینه که ازاینتر فیس ICallbackEventHandler که تو دات نت تعبیه شده استفاده بشه! اینم لینک مقاله اش
http://barnamenevis.org/forum/showthread.php?t=52380

کافیه تو صفحه ای که عکس رو تولید میکنی، اون عدد رندوم رو تو
یه سیشن ذخیره کنید و بعد هم با کد وارد شده از سمت کلاینت مقایسه
کنید! فقط کافیه اولین مثال این مقاله رو با دقت بخونید!

روش شما در نوع خودش جالبه جاشه که از آقای راد تشکر کنم که واقعا مقالات زیبا و مفیدی منتشر میکنند
ولی دوست عزیز استفاده از Session ها تو تصاویر امنیتی اشتباه محضه به چندین دلیل که بحث در این مورد خارج از حوصله پست هست برا این کار بهتره اطلاعات با یه کلیدی encrypt شده و در viewstate ها ذخیره بشه یه حتی میشه مانند یه پارامتر تو آدرس دهی برای src در نظر گرفته بشه
موفق باشید

اینطوری که من متوجه شدم بحث امنیتی محافظت از سشن بسیار مهم هست....

اکثر برنامه نویسها اینطور تصور میکنند که سشن به هیچ عنوان از جای دیگه قابل دسترسی نیست که تصور اشتباهی است (راستش خود من هم قبلا همین تصور رو داشتم)

view state همراه با encryption بهترین گزینه هست که دوست عزیزمون اسکورپیون هم فرمودند....

در مورد icallnack من مقاله آقای راد رو خوندم. حتی یه بار هم یکی از پروژه هام رو با استفاده از سیستمی که ایشون بیان کرده بودند طراحی کردم و واقعا خوب جواب داد.

اما کلا واسه ارتباط بین جاوا اسکریپت و سرور من از وب سرویس استفاده کردم.
خواستم بدونم به نظر شما این کار اشتباهه ؟؟ مثلا در مورد همین قضیه ایجاد عدد رندم و بروز رسانی تصویر امنیتی

روش شما در نوع خودش جالبه جاشه که از آقای راد تشکر کنم که واقعا مقالات زیبا و مفیدی منتشر میکنند
ولی دوست عزیز استفاده از Session ها تو تصاویر امنیتی اشتباه محضه به چندین دلیل که بحث در این مورد خارج از حوصله پست هست برا این کار بهتره اطلاعات با یه کلیدی encrypt شده و در viewstate ها ذخیره بشه یه حتی میشه مانند یه پارامتر تو آدرس دهی برای src در نظر گرفته بشه
موفق باشید


به چه دلایلی به هر حال اگه امنیت خیلی مهمه encrypt رو میشه به session هم تعمیم داد



document.getElementById("image1").src = "simage.aspx?"+Math.random();

ممنون این روش شما جواب داد



اکثر برنامه نویسها اینطور تصور میکنند که سشن به هیچ عنوان از جای دیگه قابل دسترسی نیست که تصور اشتباهی است (راستش خود من هم قبلا همین تصور رو داشتم)


شما راه دسترسی رو بفرمایید چون بیشتر سایتها الان از این روش استفاده میکنن !!!

روش شما در نوع خودش جالبه جاشه که از آقای راد تشکر کنم که واقعا مقالات زیبا و مفیدی منتشر میکنند
ولی دوست عزیز استفاده از Session ها تو تصاویر امنیتی اشتباه محضه به چندین دلیل که بحث در این مورد خارج از حوصله پست هست برا این کار بهتره اطلاعات با یه کلیدی encrypt شده و در viewstate ها ذخیره بشه یه حتی میشه مانند یه پارامتر تو آدرس دهی برای src در نظر گرفته بشه
موفق باشید

دوست عزیز
من اصلا متوجه منظورتون نمیشم. چرا سیشن ها برای اینکار مناسب نیستند؟
تا جایی که من اطلاع دارم سیشن ها سرور سایداند و امنیت کافی رو دارند و در دات نت
نسبت به asp معمولی ایراداتش رفع شده مثلا دیگه نیاز نیست مرورگر کلاینت، کوکی رو
ساپورت کنه( برای ذخیره session ID )
تنها ایرادی که بهش وارده ، اشغال حافظه سیستمه و در نتیجه کاهش سرعت طرف
سرور! ولی به نظر من در این مورد مشکلی پیش نمیاد. به این دلیل که هیچکدوممون
قصد نداریم واسه باهو برنامه بنویسم که شاید در یه لحظه هزار تا از این متغیر ها ایجاد
کنیم! نهایتا در هر 5 دقیقه 3 نفر!!

من قبلا لوکال کار می کردم و خیلی وقت نیست که asp.net کار میکنم! اگه
لطف کنید و راجع به روشتون viewState ها توضیح بدید و مطلبی بذارید ممنون
میشم؟ به نظر جالب میآد:متفکر:یعنی کد رو رمز کنم و تو ویواستیت( به چه صورت؟) قرار بدم.
بعد از هر درخواست مقدار رو بخونه و رمزگشایی ( به چه صورت ) کنه و مقایسه کنه.

اگه اینطوری که میگید باشه از وب سرویس هم میتونید برای این کار استفاده کنید.

یه خط جاوا اسکریپت میخواد و 2 3 خط هم سرور ساید پروگرمینگ


میشه توضیح بدید؟

سلام دوست من
دوست عزیز مگه قرار است هرکی برا یاهو برنامه بنویسه به فکر performance و سرعت و غیره باشه
اما در مورد viewstate ها viewstate اطلاعاتی هستند که تو حافظه سرور مستقر نمیشه عین session ها اینطوری تعریف میشه viewstate(StateName)=value به همون صورت هم خونده میشه فقط مزیتی که داره دیگه فقط تو این page یا module اعتبار داره واگه صفحه redirect بشه از بین میره ولی session ها بعلاوه اشکال حافظه برا اینکه تو صفحه چندتا picture داشته باشی باید از اسمای uniqe استفاده کنی که دوباره اشکالات خودشو داره ثانیا اگه remove های session هارو به موقع انجام ندی میبینی بعضی اوقات picture ی ایجاد میشه ولی کدی که تو session ذخیره شده یه چیزه دیگه ای و..... تجربه شخصی نشون داده تو کارهای حرفه ای و حجیم این کار اصلا به درد نمیخوره بازم هر طوری راحتی اون کارو بکن یه تجربه عملی و راحت بود که انتقال داده شد
موفق باشید

اما کلا واسه ارتباط بین جاوا اسکریپت و سرور من از وب سرویس استفاده کردم.
خواستم بدونم به نظر شما این کار اشتباهه ؟؟ مثلا در مورد همین قضیه ایجاد عدد رندم و بروز رسانی تصویر امنیتی

سلام آقای مهرداد
دوست عزیز هر روشی به کار بردی و به جواب رسیدی به نظر بهترین راهه و قابل احترام برای انجام هر کاری راه استانداردی وجود نداره شاید مثلا یه برنامه نویس یه راهی ابداء میکنه و بعدا دیده میشه این راه از راههای دیگه خیلی بهتره و اصلا مسیر برنامه ها تغییر میکنه
ولی یه اشکال وجود داره که به نظر بنده خیلی مهمه ودیگری کوچیک اول کوچیکه توسعه این سیستم نسبت به سیستمهای مشابه زمانبرتره ولی میتونه مزایایی هم داشته باشه
بزرگترین مشکل احتمال شدید حملات هست به این صورت که دستیابه و پیدا کردن وب سرویسها تو web به راحتی آب خوردنه با این حال شما مسیرشم تو script هاتون دارید پس خیلی راحتتر از آب خوردنه آدمای مریضی پیدا میشن که این webservice شما رو به صورت مکرر صدا میزنن و کلا سرور شما مختل خواهد شد ولی باز راههایی هم هست برای جلوگیری از این عمل

ولی هر عیبی مزیتی هم داره اما بزرگترین مزیت این روش که نباید نادیده گرفته بشه تا جایی که از دوستان فهمیدم نمیشه از ajax خارج از محدوده domain استفاده کرد و برای استفاده خارج از domain باید از روشهایی مثل ondemand که جناب راد معرفی کردند که باز باید از ایشون تشکر کنم و همین روش شما استفاده بشه که میتونه خارج از domain هم جواب بده

موفق باشید

اما دوست عزیز Shahab

چندتا اشکال session رو عرض کردم
ولی واقعا زمانی که میتونیم بدون اشغال حافظه سرور این کارو راحتتر از روش قبلی انجام بدیم چرا باید اصرار به روش قبلی داشته باشیم

البته دسترسی به session امکان پذیر هست ولی چون بنده تا حالا کارهای مخرب انجام ندادم نمیتونم به این سوال پاسخی بدم ولی برنامه هایی هستند که میتونند session ها رو نشون بدن البته برا جلوگیری از این کار باز میتونید همون کار encrypt رو انجام بدید فرقی نداره ولی دلایل من برای کنار گذاشتن session همون مواردی هست که عرض شد

موفق باشید

البته دسترسی به session امکان پذیر هست

تا جایی که من میدونم کلاینت به ID سشن دسترسی داره نه به مقدار اون مگه این که دسترسی های خاصی به سرور داشته باشه مثل اجرای کد در سرور

سلام دوست من
دوست عزیز مگه قرار است هرکی برا یاهو برنامه بنویسه به فکر performance و سرعت و غیره باشه
اما در مورد viewstate ها viewstate اطلاعاتی هستند که تو حافظه سرور مستقر نمیشه عین session ها اینطوری تعریف میشه viewstate(StateName)=value به همون صورت هم خونده میشه فقط مزیتی که داره دیگه فقط تو این page یا module اعتبار داره واگه صفحه redirect بشه از بین میره ولی session ها بعلاوه اشکال حافظه برا اینکه تو صفحه چندتا picture داشته باشی باید از اسمای uniqe استفاده کنی که دوباره اشکالات خودشو داره ثانیا اگه remove های session هارو به موقع انجام ندی میبینی بعضی اوقات picture ی ایجاد میشه ولی کدی که تو session ذخیره شده یه چیزه دیگه ای و..... تجربه شخصی نشون داده تو کارهای حرفه ای و حجیم این کار اصلا به درد نمیخوره بازم هر طوری راحتی اون کارو بکن یه تجربه عملی و راحت بود که انتقال داده شد
موفق باشید


از لطف تون ممنون ولی یه سوال؟
این ویو استیت ها با کوکی ها چه فرقی دارند؟ اون مقدار رشته ای طولانی که پیش فرض ذخیره شده به چه کاری میآد!
یه جایی خونده بودم ویو استیت ها واسه نگهداری اطلاعات (مثلاتکست باکس)
برای اعمالی مثل برگشت به صفحه قبلی ایجاد میشن! که این با مسئله ای که راجع به ریدایرکت شدن صفحه عنوان کردید ، همخونی نداره!!

راستش تو این که روش شما خیلی جالبه شکی نیست و حتما در اولین فرصت اجراش می کنم . در ضمن من این سیستم قبلا با روش خودم پیاده سازی کردم و با سیشن مشکلی نداشتم به این دلیل که برای هر کلاینت یک سیشن مجزا تولید میشه که فقط منحصر به اون شخصه ! پس مشکلی با اسم سیشن نداره. ولی روش شما هم قابل تامله و مفیدتره راستی نفرمودید این ویو استیت ها رو به چه صورت باید خوند



یه سوال هم از دوستانی که بحث تولید عدد رندم با جاوا رو پیش کشیدند؟
فکر نکنم این کار امن و منطقی باشه که کد طرف کلاینت تولید بشه و به سرور منتقل شه

تا جایی که من میدونم کلاینت به ID سشن دسترسی داره نه به مقدار اون مگه این که دسترسی های خاصی به سرور داشته باشه مثل اجرای کد در سرور

نمیدونم دوست عزیز شما چرا تو استفاده از session ها اینهمه اصرار دارید خوب شما همون session رو استفاده کنید ولی خداییش viewstate که بهتره خودشم life cyrcle ش هم کمتر از session هست ولی کسایی هستند که میتونن session هارو بخونن
موفق باشید

جناب اسکورپیون

ممنون از توضیحاتتون. میتونید بفرمایید چطوری میشه یه وب سرویس رو امن کرد؟؟

اینکه ما بیایم چم کنیم که آیا در محیط اون دامین درخواست داره فرستاده میشه آیا میتونه جلو اون حملات رو بگیره؟

جناب اسکورپیون

ممنون از توضیحاتتون. میتونید بفرمایید چطوری میشه یه وب سرویس رو امن کرد؟؟

اینکه ما بیایم چم کنیم که آیا در محیط اون دامین درخواست داره فرستاده میشه آیا میتونه جلو اون حملات رو بگیره؟

خوب مگه شما webservice ها رو رو client صدا نمیکنی میشه اینم دور زد
برا امنیت webservice ها چندتا راه هست مثل گذاشتن username , password ولی مساله اینه که شما از client صدا میزنی اگه password هم باشه باید رو client قرار بدی ولی بازم خوب میشه اونم رو کلاینت خوند در این فکرم که چه میشه کرد نمیدونم شاید آقای راد راه حلی داشته باشن ولی باز نظر خود شما مشکل امن تر هست بازم جستجو بکنیم ببینیم راهی هست