[vz-dev] jsonp support für vz

Andreas Goetz cpuidle at gmail.com
Wed Apr 3 08:46:01 CEST 2013 

Hallo Thorben,

On 03.04.2013 08:03, Thorben Thuermer wrote:
> On Mon, 01 Apr 2013 17:33:46 +0200
> Andreas Goetz <cpuidle at gmail.com> wrote:
>> Hallo Zusammen,
>>
>> ich hatte den Wunsch, remote (d.h. per iphone-app) auf die mw
>> zuzugreifen. Aus Sicherheitsgründen ist das nur per JsonP, nicht jedoch
>> json möglich.
> interessante sache irgendwie...
> es ist doch eigentlich im frontend vorgesehen, kanaele von verschiedenen
> middlewares abbonieren zu koennen - funktionierte das bisher garnicht?!

Kann nicht. Allerdings habe ich auch keinen Platz in rigendeiner Config 
gefunden wo ich eine zweite MW hätte eintragen können- für's durch JS 
hacken fehlte mir bisher die Zeit. Wäre aber eine spannende Aufgabe auch 
daran ein wenig zu basteln.

> (fuer die die die problematik nicht kennen: http://en.wikipedia.org/wiki/JSONP )
>
>> Wenn Interesse besteht hätte ich hier einen Patch mit dem
>> sich JsonP darstellen lässt- es fehlt nur noch eine
>> Default-Konfigurationsoption um das Verhalten standardmäßig zu deaktivieren.
> warum schickst du den patch nicht einfach?
> oder noch besser, einen pull-request auf github.
Da war ich schneller ;)

     https://github.com/volkszaehler/volkszaehler.org/pull/44

In der jetzigen Version ist das allerdings ein potentielles 
Sicherhitsrisiko- es lassen sich ja nicht nur Daten abfragen sondern 
auch löschen. Was fehlt ist m.E. eine Konfigurationsoption mit der jsonp 
standardmäßig erstmal deaktiviert ist.

> interessant waehre noch die technische umsetzung...
> ein zusaetzlicher parameter um das format anzugeben,
> und den namen der callback funktion?
Sind nur 3 Zeilen- siehe patch. Aufgerufen wird es- wenn man jQuery 
einsetzt- indem einfach callback=? an die Anfrage gehängt wird, jQ 
bastelt daraus dann einen eindeutigen Funktionsnahmen den es auf dem 
Rückweg auch aufruft und die Daten rausholt.

> ich denke das "standard"-rueckgabeformat der middleware zu aendern
> waehre keine gute idee, zumal es auch andere clients als das standard-frontend
> gibt.
Nicht nötig- es wird ja über den Request gesteuert, der Client kann also 
entscheiden.
>
>> Frohe Ostern,
>> Andreas
> - Thorben
>
Viele Grüße,
Andreas

More information about the volkszaehler-dev mailing list