M
А как ее поставить без доступа к рендеринг у страницы?
Я делаю ajax запрос при загрузке страницы
Size: a a a
2020 March 29
K
А как ее поставить без доступа к рендеринг у страницы?
csrf это аутентификация, как можно аутентифицироваться без доступа к рендерингу страницы? Ну если конечно у тебя не публичное api для сторонних интеграций
GS
csrf это аутентификация, как можно аутентифицироваться без доступа к рендерингу страницы? Ну если конечно у тебя не публичное api для сторонних интеграций
Аутентифицироваться можно по логину и паролю, можно по токену, передаваемому с запросом
GS
Csrf - это подтверждение подлинности, что запрос отправлен твоим приложением (формой, сделанной твоим приложением)
K
Аутентифицироваться можно по логину и паролю, можно по токену, передаваемому с запросом
ок, я неправильно написал, это последствия первичной аутентификации- подлинности
K
Csrf - это подтверждение подлинности, что запрос отправлен твоим приложением (формой, сделанной твоим приложением)
Чаще всего это одно и то же в своей базе и в своём предназначении, так что вопрос про рендеринг не совсем понятен
GS
ок, я неправильно написал, это последствия первичной аутентификации- подлинности
Это вообще не про аутентификацию
GS
Это для защиты, когда аутентификация успешно пройдена, но пользователь запрос не хотел отправлять
K
Это для защиты, когда аутентификация успешно пройдена, но пользователь запрос не хотел отправлять
Ты прав :)
Запамятовал
Запамятовал
M
То все же как вы делаете эту защиту для rest api(spa)? Куками или этот токен в самом приложении записать после первого входа в приложение?
K
Это для защиты, когда аутентификация успешно пройдена, но пользователь запрос не хотел отправлять
Только всё равно- по смыслу, при проверке сессии, делается то же самое что и при проверке существующего (возможно) csrf токена, если урл стандартная и без всяких идей хешинга и тд
Но это немного оверкилл)
Но это немного оверкилл)
GS
То все же как вы делаете эту защиту для rest api(spa)? Куками или этот токен в самом приложении записать после первого входа в приложение?
Если csrf токен будет в куке там же, где и токен аутентификации, как защита улучшится?
M
Если csrf токен будет в куке там же, где и токен аутентификации, как защита улучшится?
Так и сделал. Настроил cross-site-req и creditals установил, что бы по ajax csrf ставить. Но на телефоне не работает...
GS
То все же как вы делаете эту защиту для rest api(spa)? Куками или этот токен в самом приложении записать после первого входа в приложение?
Лучше из далека. Ты можешь провести атаку, от которой хочешь защищаться?
LJ
Всем привет
И
Всем привет
@ShGKme
блокировочку выпишите товарищ гаишник
блокировочку выпишите товарищ гаишник
M
Лучше из далека. Ты можешь провести атаку, от которой хочешь защищаться?
Нет
GS
Всем привет
Зачем нужна нода?
GS
Нет
Тогда надо начать с того, чтобы разобраться, что это за атака, как она делается и только тогда думать о том, как защищаться.
А то придумывание защиты от непонятно чего
А то придумывание защиты от непонятно чего
И
Зачем нужна нода?
чтобы завербовать тебя в отряды путина