И
это я понимаю. Вопрос чем коа и Fastify отличаются
Тут не нужно понимать чем они отличаются
Нест работает поверх экспресса
Нест работает поверх экспресса
Тут не нужно понимать чем они отличаются
Нест работает поверх экспресса
Size: a a a
2019 November 15
НК
нест тут не при чем. Чем отличаються Express Koa и Fastify между собой. Вот я смотрю и разници существенной не вижу
W
Он имел ввиду что get это идемпотентный метод. Идемпотентным методом называется метод, повторный вызов которого не влечёт изменений на сервере. Например хоть 1000 раз запроси картинку с сервера, ничего не поменяется. Поэтому get нельзя использовать для неидеподентных запросов. Запрос на аутентификацию не являнтся идемпотентным потому что при каждом запросе новая сессия создаётся.
Поэтому для аутентификации ты должен использовать post метод, так как post неидемподентный
Поэтому для аутентификации ты должен использовать post метод, так как post неидемподентный
Понимаю, но при логине мне нужно получить csrf token
Значит мне нужно ещё вызвать get запрос, без параметров что бы получить токен
Значит мне нужно ещё вызвать get запрос, без параметров что бы получить токен
W
Правильно?
JD
Правильно?
Зависит от задачи. Если тебе надо получать токен отдельным запросом, то без проблем, главное чтобы идемподентность не нарушалась. А так можно токен передать в ответ на post запрос, это нормальная практика
W
Зависит от задачи. Если тебе надо получать токен отдельным запросом, то без проблем, главное чтобы идемподентность не нарушалась. А так можно токен передать в ответ на post запрос, это нормальная практика
Ну суть в том что при логине у меня будут записиваться токены для jwt в куки и мне нужно защитить куки с помощью csrf token’a. Можешь посоветовать подойдёт ли то что я написал выше к этой задаче?
JD
Ну суть в том что при логине у меня будут записиваться токены для jwt в куки и мне нужно защитить куки с помощью csrf token’a. Можешь посоветовать подойдёт ли то что я написал выше к этой задаче?
Не понимаю как куки защищаются через csrf токен и при чем тут get запрос
JD
csrf токен защищает от отправки форм с других сайтов
W
csrf токен защищает от отправки форм с других сайтов
Возможно я не всё до конца понял, как мне защитить куки?
PS
Ребят, может задаю глупый вопрос, но чем Коа и Fastify отличаються от Express в плане работы и разработки приложений? Я имею ввиду какие то кор различия. Например чем отличаеться Nest от Express я вижу.
кардинальных различий нет. просто больше встроенных вещей, упрощающих работу. но это все еще библиотеки, а не фреймворки, как нест
JD
Возможно я не всё до конца понял, как мне защитить куки?
От чего?
W
От чего?
От кражи
JD
От кражи
httpOnly
W
httpOnly
И всё?
JD
И всё?
Да. В таком случае javascript не сможет прочитать их из document.cookie
PS
И всё?
вот тут пишут, что такую куку все еще можно украсть через csrf-атаку
https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage
https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage
JD
Да. В таком случае javascript не сможет прочитать их из document.cookie
ну ещё и https
JD
вот тут пишут, что такую куку все еще можно украсть через csrf-атаку
https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage
https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage
Ну она там не крадётся, а отправляется
徐
非小号Mytoken推特脸书增关注,菠菜棋牌推广霸屏强推,微信电报增粉私聊,交易所上币投票,平台账号代实名。项目白皮书代写,如有需要请联系:👉🏿 @yx3345
CM