AW
и зависит от пряморукости фронтэндера
Size: a a a
2019 November 04
AW
и, иногда, бэкэндера
AK
вероятность угона токена ниже, а вероятность xss атак - абсолютно та же
Ладно, согласен с этой формулировкой, ты прав
AW
У тебя токен лежит в лс. На сайте хсс ? Украл токен и сделал запрос от имени пользователя.
верно. Но xss - это вымирающий вид. Все фронтэнд и бэкэнд фреймворки умеют и форсят экранирование всего, что только выводится. Более того, в браузерах есть куча защит от этого - как например CSP.
AW
Просто настроенного CSP хватит, что бы полностью обезопасится от xss
AW
даже если где-то был допущен фатальный баг, допускающий xss
AK
Тем не менее. Сам сказал, что вероятность кражи токена ниже
AK
Так что аргумент
AW
ниже, когда она и так равна нулю (один раз написать CSP, один раз покрыть тестом). Аргумент, не спорю, но это совсем ноль в сравнении с болью работы с куками и триллионом ее собственных защит, которые нужно имплементить (как то CRSF)
D
Привет, кто знает как отправить данные на сервер чтобы тип у них был multipart/form-data ?
KA
@Alex_Wells @frct1 @wiistriker как то напряжённо идет беседа у вас.
Напоминаю, что в нашем чате принято уважительно относиться к своим коллегам. Если кому-то не нравится вопрос, то он просто его игнорирует.
Напоминаю, что в нашем чате принято уважительно относиться к своим коллегам. Если кому-то не нравится вопрос, то он просто его игнорирует.
AW
Просто написать CSP намного проще, чем возится с проблемами кук и реализацией CRSF.
И
@Alex_Wells @frct1 @wiistriker как то напряжённо идет беседа у вас.
Напоминаю, что в нашем чате принято уважительно относиться к своим коллегам. Если кому-то не нравится вопрос, то он просто его игнорирует.
Напоминаю, что в нашем чате принято уважительно относиться к своим коллегам. Если кому-то не нравится вопрос, то он просто его игнорирует.
он первый начал!!!
KA
он первый начал!!!
Не надо тыкать пальцем. Просто прими к сведению
AW
Не надо тыкать пальцем. Просто прими к сведению
это же шутка была
AK
Короче я в локалсторадж храню, потому что тупо данных больше влезает
AK
Но куки тож норм вариант
RK
я храню в куках, все норм работает
AW
Короче я в локалсторадж храню, потому что тупо данных больше влезает
насколько большой у тебя токен? оО