Ajax-Suche per URL ansteuern/füllen

[WulfmanGER]

Hallo in die Runde,

es geht um eine INTRANET-Seite. Daher kann ich auch kein Quelltext oder URL posten.

Ich habe in Excel eine Liste mit Auftragsnummern. Diese Nummern muss ich auf der Intranetseite in ein Suchform eingeben. Danach bekomme ich die Treffer und darf weiter klicken.

Mir geht es jetzt darum die suche per URL direkt zu starten. Bei vielen Systemen reicht es ja aus index.php ein index.php?search=id&idnr=123 zu machen. Das scheint das System grundsätzlich auch zu können:

https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456

bekomme ich raus wenn ich mir das ganze im Webdev-Tool (F12) von Firefox anschaue.

Die Domain wird aber intern von dem Script so aufgerufen. Die Seite wo ich das alles eingebe lautet:
https://hauptdomain.tld/ - die bleibt auch in der Adresszeile die ganze zeit stehen (kein Frame; zumindest hab ich es nicht gefunden - nach viel F5 hatte ich zwar mal eine html mit frame - konnte die aber nicht zuorndnen - wenn das hilfreich ist, suche ich aber explizit mal danach). Das ganze ist ein Ajax-Script und nutzt daher XHR.

Wenn ich aber jetzt die obere Domain mit Suchparameter eingebe, kommt eine Fehlermeldung: Ungültiger Parameter: redirect_uri

Somit läuft das ganze vermutlich so ab:
1) https://hauptdomain.tld/ -> Suchbegriff eingeben
2) Suchbegriff wird von hauptdomain.tld an https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456 übergeben.
3) https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456 übergibt das Ergebnis an hauptdomain.tld.

Wenn ich https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456 direkt aufrufe, fehlt die Hauptdomain.tld wo er das Ergebnis zurückgibt und somit Fehlermeldung "Ungültiger Parameter: redirect_uri". Ich hab es natürlich schon probiert mit &redirect_uri und dann die url hinten dran - negativ.

Hat jemand eine Idee wie ich mich an das gewünschte Ergebnis rantasten kann? Ja ich weiß ist schwer - nur kenn ich mich überhaupt nicht mit XHR/Ajax aus und weiß nicht was es da für Möglichkeiten gibt. Die Entwickler hab ich schon gefragt: Aus Datenschutzgründen kann meine Anfrage nicht umgesetzt werden - die Auftragsnummer wird ja geloggt und dadurch hat man dann ja Personenidentifizierbare Daten ... bahnhof ............. wenn ich die händisch ins Suchfeld eingebe wird nichts geloggt und keiner ist identifizierbar.... bahnhof) ... neuer Killerphrase in Unternehmen "Datenschutz!" Datenschutz killt Produktivität


Danke schon mal


EDIT: bei der langen URL von oben hab ich strict-origin-when-cross-origin als Referer Police. Ist das mein Problem?

 

[netzgestaltung]

schwierig zu beantworten. ist das ein selbstgeschnitzes intranet oder eine bekannte software, deren namen nicht geheim ist? Konzern oder Bude? Wenn für die Abfrage ein Log angelegt wird, muß es warscheinlich eine Authentifizierung geben, damit später nachvollzogen werden kann, wer zugegriffen hat.

Bei ajax anfragen kann es beispielsweise auch einen "nonce" geben, der die anfrage verfiziert. andererseits könnte auch eine API antworten, die ggf per CURL im terminal angesprochen werden könnte, das gibts auch mit Authentifizierung. Aber das ist alles spekulation.

Beim selbstgeschnitzen Intranet sollte dir der Entwickler die passenden Adressen und Parameter geben oder dokumentieren. Ev frag nochmal nach einer API mit Authentifizierung. Das sollte Datenschutzgerecht umsetzbar sein, ist aber eine Frage des Aufwands.

 

[WulfmanGER]

Konzern-Intranet. Die Software ist aber selbstgeschnitzt - leider (das ist ein Tool was div. Auftragsschnittstellen abfragt und die Ergebnisse zusammengefasst anzeigt - sehr praktisch). Sonst hätte ich das wie bei einer anderen gekauften, aber modifizierten Anwendung die wir ebenfalls nutzen, einfach mal von ChatGPT lösen lassen (hat da super geklappt - was rausgefunden was nicht mal die Toolverantwortlichen kannten........)

Ja die Seite erfordert eine Authentifizierung - Windows-Anmeldung oder SmartCard. Wie alle unsere Webanwendungen. Die Anmeldung per se ist aber kein Problem. Dann melde ich mich einmal an - verliere ggf. den Link durch sowas (wobei das bei der anderen Anwendung super klappt). Aber danach bin ich angemeldet.

"Das sollte Datenschutzgerecht umsetzbar sein, ist aber eine Frage des Aufwands." <- "Datenschutz" hat sich als die Killerphrase bei uns entwickelt. Willst du etwas nicht umsetzen "Das ist Datenschutztechnisch nicht umsetzbar" .... das höre ich hier immer häufiger wenn es um Verbesserungen von Tools/Arbeitsumfeld geht. Und wie schon angedeutet - wurde bei meiner letzte Anfrage die Killerphrase auch schon ausgepackt. Auf Hilfe brauche ich daher leider nicht hoffen [es läuft aber gerade im Blickfeld der Toolverantwortlichen eine Diskussion im Internen SocialMedia]. Die Entwickler (bzw. die Toolverantwortlichen - Entwickler sitzen in Indien und programmieren auf und nach Befehl) werden sich neben Datenschutz darauf zurücklehnen, das dieses Tool nur Schnittstellen zusammenfasst - ein Abruf der Daten durch ein externes System ist nicht gewünscht (ja richtig - das ist die zweite Killerphrase - man dreht die Worte der Fragenden um in etwas was definitiv nicht gewünscht ist; ich will keine Daten extern abrufen - ich will nur die Auftragsnummer in das Feld setzen lassen).

Das Ajax wird ja scheinbar über eine weitere Domain geroutet. https://hauptdomain.tld/ ist meine Arbeitsadresse. https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456 ist die Adresse die dort aufgerufen wird. Ajax auf der Hauptadresse, Ergebnis wird aber von einem anderen Server ausgespuckt. Die Referer Police verbietet mir wohl das direkte Aufrufen der lange URL. Es fehlt der referer. Die passende "Variable" wird mir zwar genannt, kann die aber nicht in die URL miteinbauen. Vermutlich wird hier noch mal übermittelt - ein Authcode von der hauptdomain.tld ...? Wenn ich das so richtig interpretiere komme ich da vermutlich nicht an hin wo ich hin will. Das heißt ich bräuchte irgendeinen Workaround ... mir hat jetzt schon jemand geschrieben das sie ein Anwendung arbeiten die ebenfalls mit hauptdomain.tld arbeitet - die Anwendung ruft die Seite auf und füllt das von sich aus. Also irgendein Makro etc. Würde ich ungerne so machen - das wäre dann vermutlich eine Lösung "exklusiv" für mich - ich suche ja auch durchaus eine Lösung für andere Kollegen.

"kann es beispielsweise auch einen "nonce" geben" <- kann ich das irgendwo sehen?

 

[netzgestaltung]

Bezüglich Referer wäre es ev mit CURL möglich:
https://everything.curl.dev/http/requests/referer

curl --referer https://hauptdomain.tld/ https://hierstehteinedomain1.tld/orders/orderItems?searchType=Auftragsnummer&searchTerm=123456

Das nonce Konzept kenn ich von WordPress - im Prinzip ist es so, das Serverseitig beim Seitenladen eine globale JS Variable (oder auch in einem Namespace) mit einem Token erstellt wird.

Dieser wird in der DB eine Zeit lang gespeichert. Bei einer Ajax Anfrage wird dann der Token mitgeschickt um eine gültige Antwort zu erhalten.

Am Server Response Script wird der Token dann mit der DB abgeglichen. So soll sichergestellt werden, das du genau das nicht machen kannst was du willst ;-)