Archivos de Categoría: Programación

Ajax en Coldfusion

Al igual que ya hice un manual básico de como centralizo la seguridad de las llamadas Ajax en Codeigniter, ahora me toca hacerlo para Coldfusion. Lo principal es que todas las llamadas sean a componentes y que estos a su vez se extiendan del Ajax.cfc que dejo a continuación:

component hint="componente securiza las llamadas de Ajax y carga los parametros que recibe la página"{

    variables.fields = {};

    package void function init(){
        headers = getHttpRequestData().headers;

        if(cgi.content_type eq 'application/json;charset=utf-8'){
            variables.fields = deserializeJSON(ToString(getHTTPRequestData().content));
        }else if(structKeyExists(headers, "X-Requested-With") and headers["X-Requested-With"] eq "XMLHttpRequest"){
            variables.fields = form;
        }else{
            cfheader(
                statuscode = 401,
                statustext = "Invalid Request"
            );
            abort;
        }

        if(not (structKeyExists(headers, "X-CSRF-TOKEN") and CSRFverifyToken(headers["X-CSRF-TOKEN"])) ){
            cfheader(
                statuscode = 401,
                statustext = "Invalid CSRF token"
            );
            abort;
        }
    }
}

Este lo que hace es que solo permitirá llamadas que estén mandando un JSON como contenido o que tengan una cabecera de petición por Ajax (X-Requested-With: XMLHttpRequest
). Tambien se encarga de comprobar que en la cabecera de las peticiones viene el parámetro X-CSRF-TOKEN que nos permitirá validar el token de la petición para evitar ataques CSRF. Por ultimo cargará todos los parámetros en una variable fields.

Un ejemplo de componente que se encargue del login por ejemplo sería así:

component extends="cfc.Ajax"{     

    remote any function login ( ) returnFormat="JSON" {
        this.init();

        if(not structKeyExists(variables.fields, 'email') or not isValid('email', variables.fields.email)) {
            cfheader(
                statuscode = 403,
                statustext = "Invalid Email"
            );                   
            return {};     
        }
        
        if(not structKeyExists(variables.fields, 'password') or len(variables.fields.password) eq 0) {
            cfheader(
                statuscode = 403,
                statustext = "Invalid Password"
            );            
            return {};
        }

        userObj = new cfc.User();
        result = userObj.login(email=variables.fields.email, password=variables.fields.password);        
        
        if(result.status neq 200){
            cfheader(
                statuscode = result.status,
                statustext = "Invalid Email or Password"
            );       
            return {};
        }else{             
 
            return result;
        }
    } 

}

Y para integrarlo con el html/javascript, lo primero sería meter en la cabecera de las páginas el token:

<meta name="csrf-token" content="<cfoutput>#CSRFGenerateToken()#</cfoutput>">

Y hacer que todas las peticiones de Ajax que hagamos con jQuery, le añada el token:

$.ajaxSetup({
	beforeSend: function (xhr){
		xhr.setRequestHeader('X-CSRF-TOKEN',document.querySelector("meta[name='csrf-token']").content);        
	}
});

O si usamos Axios en Vue:

window.axios.defaults.headers.common = {
	'X-Requested-With': 'XMLHttpRequest',
	'X-CSRF-TOKEN' : document.querySelector("meta[name='csrf-token']").content
};

Plugins de jQuery para subir y seleccionar ficheros

En el proyecto con el que estoy ahora me ha tocado integrar una plataforma de subida de ficheros que usarán distintas webs y he decidido montar dos plugins sencillitos de jQuery para simplificar su integración por parte de los maquetadores.

Se pueden descargarlo y ver como funcionan en mis repositorios de GitHub. Viene con ejemplos básicos de como integrarlo con Coldfusion y PHP

Configuraciones de Docker que suelo usar

Casi siempre he estado trabajando con VMware pero llevo ya un tiempo usando Docker que resulta bastante más rápido de montar una máquina con las versiones de software que luego tenemos en producción.

Por ahora solo los tengo para PHP y MySQL, pero estoy viendo opciones para ColdFusion y SQL Server, cuando los tenga los publicare junto con estas configuraciones en mi GitHub

Ver mis configuraciones tipo de Docker