Curioso Problema con Sesiones y Navegadores

Julcar · #1 (**permalink**) 22/03/2011, 14:01

Bien, estoy cada vez mas cerca de lograr lo que busco, pero ahora tengo un problema entre navegadores y cómo manejan las sesiones, tengo los siguientes archivos:

default.asp

Código ASP:

Ver original<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
  <head>
    <title>ASPBlog</title>
    <meta http-equiv="Content-Type" content="text/xml;charset=iso-8859-1"/>
    <meta http-equiv="pragma" content="no-cache">
  </head>
  <body>
    <div id="global">
      <&#37; Session("antihack") = True %>
      <h4>Este frame carga la pagina protegida correctamente y crea un candado abandonando la sesion</h4>
      <object id="frame" data="pagina-protegida.asp?i=1" type="text/html" width="500" height="300" border="0"></object>
      <br/>
      <hr/>
      <br/>
      <h4>Al volver a cargar la pagina protegida el candado evita que se acceda</h4>
      <object id="frame2" data="pagina-protegida.asp?i=1" type="text/html" width="500" height="100" border="0"></object>
    </div>
  </body>
</html>

pagina-protegida.asp

Código ASP:

Ver original<%
Response.addHeader "pragma", "no-cache"
Response.CacheControl = "Private"
 
Dim referer
referer = Replace(Request.ServerVariables("HTTP_REFERER"),"www.","")
  
'Verifico si trae parametros por url
If Request.Querystring("i") = "1" Then
  'Esta pidiendo el iframe, verifico si la sesion antihack existe
  If session("antihack") = True Then
    'La sesion existe, esta accediendo desde el frame principal
    %>
      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
      <html xmlns="http://www.w3.org/1999/xhtml">
        <head>
          <meta http-equiv="pragma" content="no-cache">
        </head>
        <body>
          <iframe src="pagina-protegida.asp" width="500" height="300" frameborder="0" scrolling="no"></iframe>
        </body>
      </html>
    <%
    'Elimino la sesion, asi creo un candado
    session("antihack") = False
    session.abandon
  Else
    'La sesion no existe, esta tratando de acceder directamente
    %>
    <h3 style="color:red">Error, peticion no autorizada...</h3>
    <%
  End If
Else
  'No esta pidiendo iframe, verifico referer
  If InSTR(Referer,"http://aspblog.in") = 1 Then
    'el referer es del dominio correcto, doy acceso
    %>
      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
      <html xmlns="http://www.w3.org/1999/xhtml">
        <head>
          <meta http-equiv="pragma" content="no-cache">
        </head>
        <body>
          <div>Esta pagina tiene el codigo que quiero proteger</div>
        </body>
      </html>
    <%
  Else If Not InSTR(Referer,"http://aspblog.in") = 1 Then
    Response.Redirect("/")
    End If
  End If
End If
%>

Se supone que esto trabaja así

Si ingresas a default.asp, el primer frame diria "Esta pagina tiene el codigo que quiero proteger" mientras que el segundo frame tendria un mensaje en rojo que advierte "Error, peticion no autorizada..."

Si ingresas a pagina-protegida.asp deberia redireccionar a default.asp sin dar algun aviso

Si ingresas a pagina-protegida?i=1 es decir con querystring, tal como lo pido en ambos ObjectTag de default.asp, deberia aparecerte el mensaje de error.

El algoritmo funciona en Chrome y Firefox 3 según el plan.

Pero el problema está en Opera 11 y Explorer 8

En opera 11 ambos frames en default.asp muestran el codigo correcto
En Internet explorer 8, si recargas varias veces la página, en ciertas ocasiones muestra el codigo de error en ambos frames...

¿Alguien sabe cómo puedo solucionar esto?

Julcar · #2 (**permalink**) 22/03/2011, 18:59

Bien antes que nada ya tengo el 50% de la solucion, y es gracias al usuario Wasper que me ha ayudado con esto al darme una clave muy importante:

Los navegadores trabajan los frames de forma distinta

Qué significa esto: que mientras Chrome y Firefox cargan de forma cronológica (creo que se dice así) los elementos de cada página (por eso es que funciona) Opera carga los frames simultáneamente (por eso el session.abandon no funca) y el Explorer 8 carga los frames antes que la página que los contiene, por eso el error en ambos frames, la sesion se iniciaba cuando los frames ya estaban cargados.

Ahora lo unico que debo hacer es retrasar la carga de los frames en Opera y Explorer a fin de que todo funcione correctamente. Ya les pasaré el codigo final.

Julcar · #3 (**permalink**) 23/03/2011, 00:11

Y bueno, al final lo resolví de la siguiente forma:

*creando los frames de default.asp mediante javascript, y....
*usando la funcion de javascript setTimeout() retraso la salida del segundo iframe 2-3 segs para que así no hayan problemas con el session.abandon

El resultado es una seguridad muy buena y casi impenetrable. Agradezco mucho a u_goldman y a wasper, sin sus ayudas no hubiera podido superar este gran obstáculo.