Vlákno názorů ke zprávičce Detekce AJAXových požadavků na serveru

Takze sa to da aj zneuzit ;-)

zneužít? jak můžeš změnou HTTP hlavičky něco zneužít? To bys asi nebyl dobrej programátor, kdyby ses nechat takhle zneužívat :-)

Pravděpodobně kolega naráží na to, že taková kontrola není jednoznačná a že tuto hlavičku lze podvrhnout – takže např. pokud skript pošle na základě téhle hlavičky nějaké „citlivější informace“ v dobré víře, že je posílá skriptu, tak je to špatně. (Ale to je špatně tak jako tak, bez ohledu na HTTP hlavičky.)

Což vystihuje poslední věta předchozí reakce.

Obecně mi ale tento přístup přijde zvláštní – volaný kód by se měl adresovat přímo, nikoli na základě hlaviček…

Pokud jde o kód, tak samosebou. Ale řekněme, že jde o obsah, třeba stránku, a ten může být načten přímo prohlížečem (pokud AJAX nepodporuje), nebo může být načten nějakým loaderem pomocí AJAX a vložen do DIVu. A podle toho, jakým způsobem je volán, tak je náležitě upraven (pro posílání AJAXem např. nebude zabalen do HTML).