Descargar archivos mediante un formulario

[[kayetano]]

Hola

Esta claro que dec está más puesto que yo en usabilidad, yo simplemente he optado por la opción automática por las palabras usadas en la pregunta:

Cita:

Empezado por pampitasnowman

automáticamente se pone a bajar el archivo

[semptrion]

Es imprescindible que los usuarios llenen el formulario para bajar los documentos?

La solución que planteas no genera obligatoriedad de llenar el formulario.

Un input hidden es un arma de doble filo.

[pampitasnowman]

Hago una validación en javascript del llenado de los campos del form. Si los campos se llenan correctamente, se pone a bajar el archivo y se redirecciona a otra página.
Estoy leyendo el link que me pasó Kayetano, que habla sobre las des/ventajas de la validación del lado del cliente, como del lado del servidor.
No sé a que te referís con arma de doble filo (soy novato en la programación dinámica de sitios web).
Saludos, Nacho.

[semptrion]

Pues resulta que el hidden no será visto por el usuario y resulta útil ya que guarda información del documento pdf. Pero el que no sea visto en la representación de la página web no significa que no pueda ser visto en el código HTML de la página.

Si tú señalas el documento a descargar colocando el valor en un hidden, estará expuesto el valor o la dirección del documento. Un programador web que esté atento, verá que estás enviando el nombre del archivo pdf a descargar. La primera vez, llenará el formulario. Las siguientes, simplemente obviará el formulario y recurrirá a la dirección que llama el formulario y no parará hasta "vaciarte" los pdfs o las cosillas que tengas de valor sin pasar por el "molesto" formulario.

Resultado: usa hidden si lo que quieres es obstaculizar. Pero si quieres proteger... ese es otro asunto.

Saludos

[pampitasnowman]

Si, entiendo el problema que planteas, voy a intentar pensar otra solución, para ver como puedo solucionar ese agujero en el código. Muchas gracias por el dato!
Un saludo, Nacho.

[[kayetano]]

Hola

Cita:

Empezado por semptrion

Resultado: usa hidden si lo que quieres es obstaculizar. Pero si quieres proteger... ese es otro asunto.

Creo que te equivocas, por dos razones:
1. Se puede indicar el nombre del archivo pero no su situación, por lo que se complica la descarga saltandose el formulario.
2. Como ya se ha comentado en otro hilo, se puede (mejor dicho SE DEBE) validar del lado del servidor, es decir, comprobar que el formulario se a cumplimentado correctamente del lado del servidor, sistema muy complicado de saltarse.
Además existe la opción de ofuscar o encriptar el nombre del archivo añadiendo algún tipo de código variable (fecha o hora) con lo que ya resultaría imposible la descarga directa.
En resumen que el uso de hiddens es muy normal y no es ningún tipo de arma de doble filo. Como bien indicas los buenos programadores pueden hacer cosas muy buenas.

[semptrion]

Cita:

Empezado por kayetano

Hola
Creo que te equivocas, por dos razones:
1. Se puede indicar el nombre del archivo pero no su situación, por lo que se complica la descarga saltandose el formulario.
2. Como ya se ha comentado en otro hilo, se puede (mejor dicho SE DEBE) validar del lado del servidor, es decir, comprobar que el formulario se a cumplimentado correctamente del lado del servidor, sistema muy complicado de saltarse.
Además existe la opción de ofuscar o encriptar el nombre del archivo añadiendo algún tipo de código variable (fecha o hora) con lo que ya resultaría imposible la descarga directa.
En resumen que el uso de hiddens es muy normal y no es ningún tipo de arma de doble filo. Como bien indicas los buenos programadores pueden hacer cosas muy buenas.

La verdad es que si el formulario está pasando por el servidor para descargar el documento, lo que dije está demás.
Pero ese no es el caso. Lo que sucede es si la dirección (URI) del archivo está contenida en el hidden, entonces, conociéndola ya no es necesario llenar el formulario. Únicamente es necesario escribir el URI que está en el hidden y ya está hecho todo no crees?