В
не, а какая разница, если шифруется сам контент (ну мы про jwe говорим получается)
Size: a a a
2020 September 24
В
а не про jwt
V
там уже другие приколюхи
В
если ты именно его шифровать собрался
В
и как бы какая разница где зашифрованные данные
В
если ты никак не можешь его тупо переслать с помощью js
В
будет у меня в куке лежать строка типа
фвыафавфыаввфыаавыфвфыа, которая означает "login" :"test", ну утрированно
И такая же строка будет лежать в localstorage, что принципиально отличается при невозможности эксплуатации xss?
фвыафавфыаввфыаавыфвфыа, которая означает "login" :"test", ну утрированно
И такая же строка будет лежать в localstorage, что принципиально отличается при невозможности эксплуатации xss?
В
если где-то проеб в валидации, да, токен перешлется там куда-то и его можно юзать
В
но если нет - то разницы особой нету
В
а httponly - это просто невозможность достать значение куки на js
V
будет у меня в куке лежать строка типа
фвыафавфыаввфыаавыфвфыа, которая означает "login" :"test", ну утрированно
И такая же строка будет лежать в localstorage, что принципиально отличается при невозможности эксплуатации xss?
фвыафавфыаввфыаавыфвфыа, которая означает "login" :"test", ну утрированно
И такая же строка будет лежать в localstorage, что принципиально отличается при невозможности эксплуатации xss?
если хсс принципиально невозможен то остаются всякие дырявые плагины в хроме и либы из нпм)
V
уже были случаи
V
так что лучше перебдеть
V
чем недобдеть
В
не, я не спорю что в куке безопаснее
В
но типа в принципе если у тебя не какой-то там супер-проект, а просто какой-то интернет-магазин с норм написанными средствами защиты - то как бы вот
V
но типа в принципе если у тебя не какой-то там супер-проект, а просто какой-то интернет-магазин с норм написанными средствами защиты - то как бы вот
а, ну епт
В
да и в принципе можно fingerprint юзать , он уже вроде норм
V
тут спорить не собираюсь
В
это вообще делает угон jwt нецелесообразным