VN
вопрос не в сабдоменах) а как секьюрней хранить)
Size: a a a
2019 February 20
OV
Банда, з jhipster в ангулярі хтось працював?
G[
Vladyslav Nasadiuk
https://auth0.com/docs/security/store-tokens - OAuth кричит чтобы не хранили токен в локал сторейдже, ввиду XSS, но в то же время у нас фреймворк санитайзит все, верно же? И можно свободно хранить токен в сторейдже?
Ну если аппка загружена, то токен можно хранить просто в памяти, а если аппка перезагружается, то токен приезжает вместе с куками....
VL
Vladyslav Nasadiuk
вопрос не в сабдоменах) а как секьюрней хранить)
Плюс передавай по https и не так и просто будет узнать токен. Все говорять что так не очень хранить, но норм варианта никто не предлагает.
Y
Плюс передавай по https и не так и просто будет узнать токен. Все говорять что так не очень хранить, но норм варианта никто не предлагает.
выше написали же - http only cookie, что значит не предлагают вариант? локал стораж опасен из-за того что к сторажу есть доступ, а к куке - нет
E
К http only cookie нет доступа с js
VN
httpOnly cookies do not make your site any less vulnerable to XSS attacks; if the attacker manages to inject a malicious script into your front end, then they can use that script to make HTTP requests to your server (directly from the victim's browser) and your precious httpOnly cookie (containing the user's valid session ID) will be attached to every request so the server will service them without suspecting anything.
VN
вот такая вот инфа)
VN
В общем есть хорошая статья, и интересна даже не сама она, а коментарии к ней. Всем кто задался вопросом где хранить токены и тд, советую почитать)
https://dev.to/rdegges/please-stop-using-local-storage-1i04
https://dev.to/rdegges/please-stop-using-local-storage-1i04
VL
Vladyslav Nasadiuk
В общем есть хорошая статья, и интересна даже не сама она, а коментарии к ней. Всем кто задался вопросом где хранить токены и тд, советую почитать)
https://dev.to/rdegges/please-stop-using-local-storage-1i04
https://dev.to/rdegges/please-stop-using-local-storage-1i04
спасибо, почитаю
AM
Всім привіт, колись також зустрівся з питанням передачі токену між клієнтом та сервером, вирішенням було використання http only cookie, так його не видно з клієнту, але навіщо? Моя архітектура передбачала перегін цієї кукі при кожному РЕСТ-запиті, а сервер вже має до неї доступ
AO
Всім привіт, колись також зустрівся з питанням передачі токену між клієнтом та сервером, вирішенням було використання http only cookie, так його не видно з клієнту, але навіщо? Моя архітектура передбачала перегін цієї кукі при кожному РЕСТ-запиті, а сервер вже має до неї доступ
а в чем вопрос то?
AM
Це відповідь на питання вище)
AO
Eugine
К http only cookie нет доступа с js
Именно. Значит - секурно.
RK
Vladyslav Nasadiuk
httpOnly cookies do not make your site any less vulnerable to XSS attacks; if the attacker manages to inject a malicious script into your front end, then they can use that script to make HTTP requests to your server (directly from the victim's browser) and your precious httpOnly cookie (containing the user's valid session ID) will be attached to every request so the server will service them without suspecting anything.
Это заявление опровергает секьюрность, и я склонен согласиться.
RK
Оно скорее не секурно, а гемморней обходить
DG
а на фронте можно че-то тру секьюрное придумать?
RK
не думаю
RK
любые виды хранилищ доступны из клиента, потому если у злоумышленника есть доступ к нему, тут уж ничего не поделаешь
RK
так что мне кажется в первую очередь нужно защищаться от инъекций, а не пытаться ограничить доступы к АПИ