Y
Любая экранизация и прочее производятся на сервере
прочее это что?
Size: a a a
2020 January 17
E
Любая экранизация и прочее производятся на сервере
прошу прощения, под экранизацией что подразумевается?
отвечая на вопрос выше Вашего: возможно, я не совсем верно употребил слово "отлавливать" — голова кипит, не могу в адекватные формулировки
отвечая на вопрос выше Вашего: возможно, я не совсем верно употребил слово "отлавливать" — голова кипит, не могу в адекватные формулировки
¿
прочее это что?
Что угодно, что касается приведения ввода пользователя в безопасный вид, дабы предотвратить тот же XSS.Подобное "обеззараживание" должно проводиться исключительно на серверной стороне.
Y
Что угодно, что касается приведения ввода пользователя в безопасный вид, дабы предотвратить тот же XSS.Подобное "обеззараживание" должно проводиться исключительно на серверной стороне.
рили?
¿
рили?
Да, ибо клиентская защита элементарно обходится.Ведь что мне мешает отправить заражённый запрос, сформировав его самостоятельно, обойдя сайт?
Y
Да, ибо клиентская защита элементарно обходится.Ведь что мне мешает отправить заражённый запрос, сформировав его самостоятельно, обойдя сайт?
токен? нет
Y
просто логично на клиенте сделать проверку и на бэке, ну вроде бы.
Y
Да, ибо клиентская защита элементарно обходится.Ведь что мне мешает отправить заражённый запрос, сформировав его самостоятельно, обойдя сайт?
вообще правильная архитектура =)
B
прошу прощения за лексикон, проблема была в отсутствии name в инпутах — ёбаная вёрстка, гори она огнём. Тогда вопрос в другом, насколько безопасно таким образом отлавливать введённые для входа пользователем значения?
что значит отлавливать в твоем понимании?...
а сорян, не совсем внимательно читал сообщения
а сорян, не совсем внимательно читал сообщения
E
что значит отлавливать в твоем понимании?...
а сорян, не совсем внимательно читал сообщения
а сорян, не совсем внимательно читал сообщения
Я имею в виду само принятие данных. Как верно заметил hope — (о чём я читал до этого) есть всякие штуки вроде sql-инъекций и прочих уязвимостей. И, если я правильно понимаю, одна из вариаций, когда на какой-то ресурс во время аутентификации отправляется сформированный злоумышленником запрос, который, в свою очередь обходит какое-то подобие middleware и крадёт, к примеру, данные(надеюсь, не совсем неказисто вышло). Я подразумевал то, насколько безопасно это происходит сейчас у меня, но понял, что в данный момент ещё ничего не происходит, я просто вывожу в консоль введённые пользователем значения, и теперь уже стоит задача разобраться в том, как правильно с этими значениями работать, чтобы в дальнейшем его авторизовывать. И просить кого-либо из вас научить меня — в этой ситуации некорректно, поэтому обращусь к статьям из интернетов
B
Я имею в виду само принятие данных. Как верно заметил hope — (о чём я читал до этого) есть всякие штуки вроде sql-инъекций и прочих уязвимостей. И, если я правильно понимаю, одна из вариаций, когда на какой-то ресурс во время аутентификации отправляется сформированный злоумышленником запрос, который, в свою очередь обходит какое-то подобие middleware и крадёт, к примеру, данные(надеюсь, не совсем неказисто вышло). Я подразумевал то, насколько безопасно это происходит сейчас у меня, но понял, что в данный момент ещё ничего не происходит, я просто вывожу в консоль введённые пользователем значения, и теперь уже стоит задача разобраться в том, как правильно с этими значениями работать, чтобы в дальнейшем его авторизовывать. И просить кого-либо из вас научить меня — в этой ситуации некорректно, поэтому обращусь к статьям из интернетов
ну в любой нормальной ORM используется защита от sql инъекций (не помню точно как называется). А Авторизация - ну пароли изначально храняться в захешированном виде, желательно чтобы хэш использовал какой-нибудь app-key, и ты просто так же при получении данных хешируешь пароль который ввел пользователь, и ищешь по этому login и password в базе, если есть совпадения - создаешь сессию или токен (механизм авторизации выбираешь сам уже в зависимости от приложения)
E
Благодарю Вас за ответ
W
ребят, подскажите. Есть vps для своего проекта, стоит nginx. Надо еще один рабочий проект поднять. Я просто поднимаю ноду на дрогом пурту (скажем не 3000 а 3010) и в конфигах nginx добавляю, верно?
W
*субдомен в конфигах
O
Всем привет.
Друзья, я только-только начал осваивать VPS, завёл там маленький сервис на ноде. Сервис иногда падает, я захожу по ссш, делаю npm start чтобы запустить сервис.
Вопрос такой - как я могу быть уверен, что я не запускаю параллельно второй такой же сервис?
Друзья, я только-только начал осваивать VPS, завёл там маленький сервис на ноде. Сервис иногда падает, я захожу по ссш, делаю npm start чтобы запустить сервис.
Вопрос такой - как я могу быть уверен, что я не запускаю параллельно второй такой же сервис?
O
Что будет если я сделаю несколько новых подключений и везде стартану проект?
B
Onix
Всем привет.
Друзья, я только-только начал осваивать VPS, завёл там маленький сервис на ноде. Сервис иногда падает, я захожу по ссш, делаю npm start чтобы запустить сервис.
Вопрос такой - как я могу быть уверен, что я не запускаю параллельно второй такой же сервис?
Друзья, я только-только начал осваивать VPS, завёл там маленький сервис на ноде. Сервис иногда падает, я захожу по ссш, делаю npm start чтобы запустить сервис.
Вопрос такой - как я могу быть уверен, что я не запускаю параллельно второй такой же сервис?
pm2 попробуй
O
что это такое?
B
менеджер процессов для ноды