ИЛ
а почему он должен быть один? у меня на разные урлы разные токены
Size: a a a
2020 May 31
C
В страницу нельзя такое писать ещё и по причине Кеша, причем на разных уровнях, не нужно раскладывать в кеш админский токен
+
ИЛ
В страницу нельзя такое писать ещё и по причине Кеша, причем на разных уровнях, не нужно раскладывать в кеш админский токен
в лейзибилдере можно
DK
Получается, единственный способ секюрно передать токен скрипту, это не передавать его (не генерить токен на сервере), а встроить код запроса в сам скрипт.
Я так и думаю, в общем-то, но это выглядит странно на фоне того, что формы реализованы иначе (там не общий токен, это сглаживает проблему, но не устраняет совсем).
Мой вопрос чисто в этом противоречии в основном.
Я так и думаю, в общем-то, но это выглядит странно на фоне того, что формы реализованы иначе (там не общий токен, это сглаживает проблему, но не устраняет совсем).
Мой вопрос чисто в этом противоречии в основном.
ИЛ
формы в друпале - это монструозное говно
AP
в лейзибилдере можно
И он может стать не lazy случайно, зачем это вектор вообще?
DK
Формы, кстати, тоже можно было бы заставить забирать этот токен на лету. Достаточно лишь добавить хендлер на onSubmit и делать GET-запрос предварительно.
ИЛ
И он может стать не lazy случайно, зачем это вектор вообще?
что значит случайно?
DK
И, кстати, для форм, полагаю, решение было бы универсальным для всех форм.
AP
Dmitriy K.
Получается, единственный способ секюрно передать токен скрипту, это не передавать его (не генерить токен на сервере), а встроить код запроса в сам скрипт.
Я так и думаю, в общем-то, но это выглядит странно на фоне того, что формы реализованы иначе (там не общий токен, это сглаживает проблему, но не устраняет совсем).
Мой вопрос чисто в этом противоречии в основном.
Я так и думаю, в общем-то, но это выглядит странно на фоне того, что формы реализованы иначе (там не общий токен, это сглаживает проблему, но не устраняет совсем).
Мой вопрос чисто в этом противоречии в основном.
Формы и xhr/fetch ортогональны в браузере, поэтому formapi это другая история
C
C
формы не должны зависить от js
DK
Ну, как ортогональны. Сейчас они в явном виде несут в себе токен, который может из DOM читать кто хошь.
ИЛ
формы не должны зависить от js
ты из 1920 пишешь?
DK
"формы не должны зависить от js" - why?
DK
Drupal вообще будет работать без JS?
C
why not?
C
будет
DK
Менюшки по крайней мере точно поломаются :)
ИЛ
Dmitriy K.
Drupal вообще будет работать без JS?
вполне работает