V
csrf надо конечно, там же сервер токен генерит
Size: a a a
2020 January 20
Ð
да это я не подумавши, xss - вот не нужно, почти )
V
но если это json api насколько знаю оно там не нужно
V
это защита чисто для форм
Ð
ну как минимум нодер должен уметь отдавать allow-origin
V
но мб я не так понял если кто-то шарит подтвердите/опровергните
Ð
или делегировать это админу )
V
Ð
ну как минимум нодер должен уметь отдавать allow-origin
корс и ксрф это разные вещи
Ð
я знаю, спс кэп
V
ну просто ты так контекст переключил резко)
Ð
бывает
Ð
это все мышление яваскриптом
V
так что скажите, ксрф не же нужно если это json api, я все правильно понял?
Ð
не нужно ограничиваться json api )
V
вай нот?)
V
как я понял эту технологию что злоумышленник может со своего сайта сделать отправку формы на чужой сайт и этот csrf токен генерится чтоб убедиться что форма отправлена с нужного сайта
но фетч запрос на чужое апи со своего сайта сделать нельзя из-за корс и поэтому csrf не нужен для апи
но фетч запрос на чужое апи со своего сайта сделать нельзя из-за корс и поэтому csrf не нужен для апи
Ð
не только формы
V
а что еще отправить то можно?)
Ð
накручивать например статистику запрашивая метод апи не требующий авторизации - почему нет
V
так как ты запросишь метод апи то?