Common Gateway Interface (Interfaz Público de Pasarela) Francisco Rosales

2 © Francisco ROSALES Introducción El HTML era algo estático Todo acceso a una hoja, daba el mismo resultado No satisfacía las necesidades de interactividad Documentos de contenido exclusivo para el acceso Se creó el Common Gateway Interface Un estándar que especifica como interconectar aplicaciones externas con servidores de información Ej. un servidor Web

3 © Francisco ROSALES Funcionamiento básico Cuando accedamos a un CGI: Será ejecutado en el servidor en ese instante La información dinámica que produzca será presentada como resultado del acceso Usos: Contadores de accesos a las páginas Anuncios incrustados (banners) Buscadores etc.

4 © Francisco ROSALES Ejemplo Consulta desde el navegador web El usuario: Rellena un formulario HTML y lo envía La acción asociada es URL a un CGI El servidor Web: Ejecuta (localmente) el CGI con los datos del formulario El programa CGI: Accede a la BD y, con el resultado, produce un documento HTML El servidor Web: Devuelve el documento, casi directamente, al navegador

5 © Francisco ROSALES Ventajas e Inconvenientes Ventajas Mejora la seguridad de los usuarios No tendrán que ejecutar programas extraños en su máquina Simplifica la gestión de los servicios Al estar centralizado, se eliminan los problemas de mantenimiento y distribución de las aplicaciones Inconvenientes Puede comprometer la seguridad del servidor Dejar que cualquiera ejecute algo en el servidor, aunque lo hayamos escrito nosotros, no es muy seguro

6 © Francisco ROSALES Precauciones de seguridad Todos los programas CGI suelen residir en un directorio especial del servidor: /cgi-bin Bajo control del webmaster El Administrador puede relajar esta restricción, pero no suele hacerse

7 © Francisco ROSALES Lenguajes de Programación No hay restricción Compilables: C, C++, Fortran, etc. El ejecutable deberá estar en /cgi-bin Interpretados: El script, directamente ejecutable, en /cgi-bin Es mucho más fácil depurar, modificar y mantener Se usa mucho perl Muy potente pero bastante complejo

8 © Francisco ROSALES #!/bin/sh echo "Content-type: text/plain" echo "" set -v ### Activa modo verbose del shell exec 2>&1 ### Dirige el error a la salida estd. echo "$0" # Nombre del mandato echo # Argumentos de invocación id # Identidad del proceso pwd # Directorio actual de trabajo env # Variables de entorno cat # Información en la entrada estandard # FIN Ejemplo: test.cgi

9 © Francisco ROSALES Para que funcione como CGI El servidor Web distingue un CGI de cualquier otro fichero convencional: Por su ubicación: Debe residir en /cgi-bin del sistema (o de la cuenta del usuario) Por su extensión: El nombre del fichero debe tener extensión.cgi Por sus permisos: Lectura y ejecución para todo el mundo

10 © Francisco ROSALES ¿Cómo invocar un CGI? I Directamente desde el Navegador Indicando su URL en el campo Location Al recorrer un hipervínculo Etiqueta A referida al URL Enlace al CGI de pruebas

11 © Francisco ROSALES ¿Cómo invocar un CGI? II Como origen de una imagen La salida del CGI debe ser de tipo imagen Es la forma de incrustar banners <IMG SRC="/cgi-bin/banner" ALT="Inserte aquí su publicidad">

12 © Francisco ROSALES ¿Cómo invocar un CGI? III Como acción asociada a un formulario HTML Es el uso más común de los CGI El método de invocación (GET o POST) establece la manera en que el CGI recibirá los parámetros <FORM ACTION="/cgi-bin/test.cgi" METHOD="GET" >

13 © Francisco ROSALES Paso de argumentos NO los reciben de la línea de mandatos Pueden indicarse en el URL Al CGI le llegan como variables de entorno PATH_INFO Texto a partir del nombre hasta la 1ª '?' Se suele usar para indicar caminos de búsqueda QUERY_STRING Texto desde la 1ª '?' hasta el final Este texto debe estar codificado

14 © Francisco ROSALES Codificación URL Los espacios en blanco se sustituyen por el carácter '+' Otros caracteres especiales, por su valor hexadecimal con el prefijo '%'

15 © Francisco ROSALES Método de invocación I Todo formulario HTML debe indicar: La acción asociada: un programa CGI El método de invocación: GET o POST Los datos del formulario le llegarán al CGI: Como un conjunto de pares nombre=valor Donde nombre, será el del atributo NAME de cada etiqueta INPUT o SELECT Los pares llegarán uno detrás de otro, separados por el carácter '&'

16 © Francisco ROSALES Método de invocación II REQUEST_METHOD Esta variable de entorno indicará el método de invocación empleado Si fue GET Los datos llegarán (codificados) en la variable QUERY_STRING Si fue POST Llegarán por la entrada estándar La variable CONTENT_LENGTH indicará el número de bytes de información

17 © Francisco ROSALES Entorno de ejecución La especificación define unas variables que el servidor Web debe poner en el entorno de ejecución de los CGI Se escriben en mayúsculas Un valor nulo equivale a su no definición

18 © Francisco ROSALES Identificación del cliente REMOTE_ADDR Dirección IP del cliente que invocó al CGI REMOTE_HOST Dirección completa del cliente que invocó al CGI REMOTE_IDENT Si el sistema cliente lo permite identificar usuarios, indicará su nombre No deberá ser usado nunca como autenticación SCRIPT_NAME URL completo al programa CGI

19 © Francisco ROSALES Identificación del servidor SERVER_NAME Nombre del servidor como se indicó en el URL SERVER_PORT El número de puerto del servicio web SERVER_SOFTWARE Nombre y versión del software que implementa el servidor

20 © Francisco ROSALES Sobre la conexión I GATEWAY_INTERFACE Versión del protocolo CGI implementado DOCUMENT_ROOT Directorio raíz del servicio Web HTTP_HOST Nombre del servidor

21 © Francisco ROSALES Sobre la conexión II HTTP_REFERER URL de la página desde la que se accedió al CGI HTTP_USER_AGENT Identificación del navegador usado por el cliente HTTP_COOKIE Cookie del usuario, si es que tiene HTTPS Activa si el CGI fue invocado a través de un servidor seguro

22 © Francisco ROSALES Parámetros de entrada I PATH_INFO Camino extra expresado en el URL del CGI PATH_TRANSLATED Es la concatenación de DOCUMENT_ROOT y PATH_INFO REQUEST_METHOD Método de invocación utilizado QUERY_STRING Parámetros pasados a un CGI mediante GET

23 © Francisco ROSALES Parámetros de entrada II CONTENT_LENGTH Tamaño del la información presente en la entrada estándar o NULL Puede venir de un POST o de un PUT de HTTP CONTENT_TYPE Indica el tipo MIME de la información presente en la entrada estándar Si vale NULL, se deberá deducir el tipo, y si no se consigue se asumirá application/octet-stream

24 © Francisco ROSALES ¿Qué puede devolver? Todo CGI deberá emitir por la salida estándar su resultado Un documento MIME completo O la localización del documento resultante

25 © Francisco ROSALES Devolución de un documento 1ª linea: Content-Type: tipo MIME 2ª línea: en blanco Resto: documento completo del tipo indicado text/plain, image/gif, etc. Content-Type: text/html Título del documento dinámico....

26 © Francisco ROSALES Devolución de una dirección 1ª línea: Location: URL local o remoto 2ª línea: en blanco URL local: el propio servidor lo seguirá URL remoto: el cliente ha de seguirlo Location: Location: /pub/WWW/

27 © Francisco ROSALES CGI con salida NPH Non Process Header Exige el prefijo nph- El servidor conecta CGI y cliente y no filtra El CGI toma control total de la conexión HTTP Debe incluir al menos una línea indicando el protocolo y el estado del acceso realizado HTTP/ Todo fue bien Content-Type:

28 © Francisco ROSALES Direcciones de interés The Common Gateway Interface CGI Made Really Easy The World Wide Web Security FAQ Multitud de referencias Lista de enlaces relativos a CGIs CGI Programming 101