AW
если ломанный браузер будет то моджно вскрыть, ну мы должны хотябы немного усложнить задачу
ломанный браузер? Если ломанный браузер, то можно сделать что угодно. ВСЕ защиты в браузеры основаны на предположении о том, что браузер не взломан.
Size: a a a
2019 November 04
AW
HttpOnly можно настроить
httpOnly нельзя засетать на 1 с JS'а
AW
только если бэк вернул set-cookie с httpOnly
AW
через расширение я тебе спокойно могу токен получить
AW
не можешь.
KA
и если хранить их в куках, то это не HttpOnly и все пойдет по пизде с первым же xss'ом
Напоминаю, что в нашем чате не принято использовать обсценную лексику
AW
Напоминаю, что в нашем чате не принято использовать обсценную лексику
без проблем, извиняюсь
RK
httpOnly нельзя засетать на 1 с JS'а
а распиши подробно в чем проблема?
AW
а распиши подробно в чем проблема?
В том что браузер не даст этого сделать?
IB
httpOnly нельзя засетать на 1 с JS'а
Сервер ставит куку при логине и ее читает на все другие запросы. Кука с флагом хттпонли
AW
Сервер ставит куку при логине и ее читает на все другие запросы. Кука с флагом хттпонли
сервер - да, он может. Но тогда это не "стейт для хранения на фронте"
RK
сервер - да, он может. Но тогда это не "стейт для хранения на фронте"
если такой подход, то да
AW
тогда это исключительно задача бэка, а это бред. АПИшки должны быть доступны через вменяемые параметры, а не куки, с которыми никто не умеет работать (никто - это библиотеки и фреймворки типа cordova/capacitor). Если и умеют - то либо не удобно, либо фигово работает (как в случае с кордовой)
AW
и каким образом контроллировать авторизацию без бэкэнда? Как мне вылогинить юзера БЕЗ перезагрузки страницы? Как мне зафейкать другого юзера, при этом оставив собственную авторизацию?
AW
Никак. Куки плохо работают и накладывают ограничения на бизнес, если мы говорим об использовании их как единственного способа авторизации
IK
и каким образом контроллировать авторизацию без бэкэнда? Как мне вылогинить юзера БЕЗ перезагрузки страницы? Как мне зафейкать другого юзера, при этом оставив собственную авторизацию?
решаемо)
RK
я говорил о хранении на фронте, не больше не меньше
если выбирать между localStorage и cookies, то советуют cookies (меньший разворот для атак)
то что "никто не умеет" это не аргумент
если выбирать между localStorage и cookies, то советуют cookies (меньший разворот для атак)
то что "никто не умеет" это не аргумент
AW
решаемо)
контроллировать - никак, вылогинить - никак. Фейкануть - можно, но с костылями на бэкэ и фронте. Не хочу, спасибо.
RK
IB
контроллировать - никак, вылогинить - никак. Фейкануть - можно, но с костылями на бэкэ и фронте. Не хочу, спасибо.
Сделать запрос на logout?)