PC
говоришь, что JWT плохо, куки хорошо. Может прокатить
а почему jwt плохо?
Size: a a a
2021 March 03
a
не всегда оправдано , но не плохо
P
Valera CSS_Junior
а что в плане безопасности сайта должен знать по вашему каждый реакт разработчик или фронтендер? на собеседовании спросили, я толком внятно ничего не ответил. хочу подтянутся
Нельзя отправлять сенсетив данные в параметрах гет запроса. Нежелательно их также хранить в локалсторе
Сессионную куку надо помечать как httponly, в реакте надо санитайзить юзерский инпут,
Сессионную куку надо помечать как httponly, в реакте надо санитайзить юзерский инпут,
a
а причем httponly к фронту?
P
А при том.
AA
а почему jwt плохо?
оно не плохо, но там надо делать хорошо, чтобы не было плохо
P
HTML-макаки ненужны, потому что ничего кроме своего маня мирка в виде реакта или говнуляра не знают.
А веб не сводится к клепанию формочек. Надо ещё протоколы знать, как защищать данные пользователя
А веб не сводится к клепанию формочек. Надо ещё протоколы знать, как защищать данные пользователя
a
PWG
А при том.
по фактам… только вот что сервер ставит httponly , вы не учли , такую куку не видно с жс
P
Valera CSS_Junior
а что в плане безопасности сайта должен знать по вашему каждый реакт разработчик или фронтендер? на собеседовании спросили, я толком внятно ничего не ответил. хочу подтянутся
Ещё за CORS забыл сказать, надо знать какие там хедеры, что такое префлайт(options) запрос и почему JSONP небезопасно
P
по фактам… только вот что сервер ставит httponly , вы не учли , такую куку не видно с жс
Я видел панику в глазах людей, которые использовали дырявый джимкери плагин, и при этом не защещали кукисы сессии с помощью secure и httponly
P
по фактам… только вот что сервер ставит httponly , вы не учли , такую куку не видно с жс
Элементарный вопрос на собесе: как защитить куку чтоб сторонний скрипт их не стырил?
a
к фронтенду это не иметт никакого отношения , вопрос вроде был с этой стороны
AA
PWG
Ещё за CORS забыл сказать, надо знать какие там хедеры, что такое префлайт(options) запрос и почему JSONP небезопасно
а где вообще юзается JSONP? когда то очень давно юзал его только чтобы корсы обойти
a
если беки не подумали , как фронт решит эту пробелмы? ответ - никак
VC
к фронтенду это не иметт никакого отношения , вопрос вроде был с этой стороны
собеседующий упоминал про httponly куки.
P
к фронтенду это не иметт никакого отношения , вопрос вроде был с этой стороны
Это видимо ты к фронту отношение не имеешь.
В современном приложении помимо твоей говно-spa на странице ещё куча трекеров, виджетов погоды, сторонних конструкторов, та даже скриптики с чужого cdn.
Если человек не понимает что у него в браузере творится, то мне его жаль
В современном приложении помимо твоей говно-spa на странице ещё куча трекеров, виджетов погоды, сторонних конструкторов, та даже скриптики с чужого cdn.
Если человек не понимает что у него в браузере творится, то мне его жаль
a
воооу
a
полехче, охлади траханье
P
Да, я перегнул
a
про джимкери плагин кстати, было мощно =)