Ciao a tutti, su un sito sto usando HMLHTTP per fare login su un sito esterno.

Ho scritto il codice provandolo sul server che ho in ufficio, funziona senza alcun problema. Provando ad installarlo sul sito del cliente presso "Hoster1", non funziona più. Allora l'ho provato su altri due siti miei, uno presso "Hoster1" e uno presso "Hoster2", entrambi funzionano, ed anche contemporaneamente tra loro e contemporaneamente all'installazione sul mio server in ufficio.

Ma sul sito del cliente no. Non riesco a capire perché. Spero nell'intervento di qualcuno dalle capacità superiori alle mie che possa spiegarmi cosa succede, non riesco a capire dove stia il problema; sono assolutamente bloccato e non so più dove cercare o cosa provare.

Grazie mille, Buon Natale a tutti.

Ciao, innanzitutto grazie per avermi risposto!
Direi però che la same origin policy non c'entri molto...:

1 - Innanzitutto questo MioSito che sto facendo va a recuperare, attraverso la XmlHttpRequest, dati da SitoFinanziario1, penso statunitense.

2 - Per estrarre i dati da SitoFinanziario1, sempre con XmlHttpRequest invoco la pagina del controllo del login passando i dati di autenticazione nella querystring. Una volta che la pagina è stata caricata posso chiamare, sempre con XmlHttpRequest, le altre pagine coi dati che mi interessa reperire. A questi URL senza login apparirebbero pagine vuote.

3 - Ho provato a mettere e ad eseguire i miei script su:
- il mio server nella mia LAN
- un mio dominio ospitato presso Hoster1
- un mio dominio ospitato presso Hoster2
Tutto funziona, ed ovviamente la pagina asp e lo script che invoco con XMLHTTPRequest si trovano su due domini diversi.

4 - Ho provato a mettere e ad eseguire i miei script su
- il dominio del cliente ospitato presso Hoster2
In questo caso lo script non funziona, nel senso che la pagina del controllo del login passando i dati di autenticazione nella querystring viene caricata, senza il mio nome utente riconosciuto, e le altre pagine coi dati appaiono vuote.

Visto che sugli altri domini tutto funziona, non dev'essere un problema di script, e nemmeno di same origin policy, perché in tutti i casi che ho provato, anche funzionanti, i domini sono diversi...

Dove sbaglio?

ciao,

bulabula ha scritto:

2 - Per estrarre i dati da SitoFinanziario1, sempre con XmlHttpRequest invoco la pagina del controllo del login passando i dati di autenticazione nella querystring. Una volta che la pagina è stata caricata posso chiamare, sempre con XmlHttpRequest, le altre pagine coi dati che mi interessa reperire.

giusto per essere sicuro di aver capito: il "login" e "le altre pagine" si trovano su SitoFinanziario1, giusto?

bulabula ha scritto:

1 - Innanzitutto questo MioSito che sto facendo va a recuperare, attraverso la XmlHttpRequest, dati da SitoFinanziario1, penso statunitense.

ok, tieni presente che il browser applica la same origin policy anche in questo caso. Se riesci a recuperare i dati, è perché SitoFinanziario1 ne ha esplicitamente consentito l'accesso da altre origini (cioè da altri domini).
Puoi verificare questa cosa incollando l'URL che richiami mediante l'XMLHttpRequest nella barra degli indirizzi del browser. Usando Firebug o la console di IE (tasto F12) potresti notare che tra le intestazioni della risposta c'è questa - molto permissiva - che consente a qualunque dominio di accedere ai dati:


Il Cross-Origin Resource Sharing (CORS) è una specifica del W3C che consiste in intestazioni HTTP come la già citata Access-Control-Allow-Origin che permettono al server di ridefinire le restrizioni della same-orgin policy.

Anche Flickr, ad esempio, consente a tutti di consumare le sue API infatti se visiti questo indirizzo vedrai che con la risposta ti arriva anche l'intestazione Access-Control-Allow-Origin:*

Il feed di aspitalia su questa discussione, invece, non è accompagnato da quella intestazione e perciò non potrai scaricarlo con XmlHttpRequest perché il browser applicherà le normali restrizioni imposte dalla same-origin policy.
Se provi comunque ad accederci, la richiesta non produrrà il risultato che ti aspetti e nella console di Google Chrome, ad esempio,vedresti un errore simile a quello di questa immagine.


Dato che, come dici ai punti 3 e 4, l'unica cosa che cambia è il dominio mi è venuto in mente che il problema potrebbe esser causato dalla same-origin policy e dall'assenza dell'opportuna intestazione Access-Control-Allow-Origin.
Sulla base di quello che ci siamo detti finora, non ti saprei ancora dire perché il problema si presenti solo sul dominio del cliente. Quindi, per fare un passo avanti dovresti:

• Usare Firebug o la console di Google Chrome / IE, o altro strumento per verificare che XmlHttpRequest stia correttamente effetuando la richiesta. Poi, sempre con i medesimi strumenti, verificare qual è la risposta del server (ammesso che una risposta venga restituita).
• Riportare qui nel forum le intestazioni HTTP e la risposta del server. A volte nella risposta si trovano degli errori che ti aiutano a capire il problema.

= Oppure =

Se la tua applicazione non contiene user e password in chiaro, posta direttamente i link a Hoster1 e al dominio del cliente così che gli si può dare un'occhiata direttamente.

ciao

---

Modificato da BrightSoul il 27 dicembre 2011 13.41 -

ciao,
non avevo capito che stessi utilizzando l'oggetto XMLHTTP lato server. Pensavo che stessi facendo delle chiamate ajax dal client, per quello parlavo di same-origin policy che in questo caso non c'entra nulla dato che le chiamate partono dal server.

Ora penso di aver capito il problema: tu fai due chiamate al sito finanziaro e con la prima ti logghi mentre con la seconda ottieni i dati. Alla prima chiamata, il sito finanziario allega alla risposta un cookie di autenticazione che DEVI reinviare in tutte le successive chiamate per provare la tua identità. E' il meccanismo di autenticazione più comune sul web.
Però, alla seconda richiesta, quando chiedi i dati a /Marketing/GetStocks, non aggiungi quel cookie che ti era stato fornito in precedenza e, in linea teorica, il sito finanziario non avrebbe modo di verificare la tua identità e di sapere che sei tu lo stesso che ha effettuato il login pochi istanti prima. Nonostante tu non fornisca il cookie, sorprendentemente funziona lo stesso. Probabilmente è l'oggetto XMLHTTP che assembla la richiesta per te e ci butta dentro il cookie.

Se sul sito del cliente il comportamento è diverso non è a causa del differente dominio, del server che potrebbe essere configurato in maniera diversa dagli altri. Qui non mi avventuro perché non conosco l'XMLHTTP (e tutte le sue versioni) in maniera approfondita né i server in uso. Una prova che puoi fare è sostituire Msxml2.XMLHTTP con MSXML2.ServerXMLHTTP. Il primo è pensato per applicazioni client-side, mentre il secondo per il server.
Oppure, chiedi a Hoster2 che differenza c'è tra il server usato per il tuo sito e quello su cui si trova il sito del cliente. Eventualmente fagli presente il problema che stai riscontrando e chiedi (se gratuito) che il sito venga spostato sullo stesso server su cui si trova il tuo sito.

Comunque, come hai constatato, questa soluzione è fragile e non sono neanche tanto sicuro che quelli del sito finanziario vogliano che i loro contenuti siato inglobati in altre pagine. Oltretutto, se provi a premere il tasto "Get stocks" vedrai che non funziona.

La soluzione sarebbe stata usare un iframe, in modo che l'utente avrebbe visto una cornice nella tua pagina all'interno della quale avrebbe potuto interagire con le pagine del sito finanziario, visibili dal loro dominio.

Tuttavia vedo che hanno scritto del javascript proprio per evitare che i loro contenuti venissero rinchiusi in una cornice. Se provi ad usare un iframe, infatti, avverrà una navigazione al sito finanziario posto a tutta pagina.

ciao

---

Modificato da BrightSoul il 27 dicembre 2011 17.29 -