S🛸
Какие-то записывают данные в БД, какие-то проксировать данные в другие сервисы
Size: a a a
2020 March 29
GS
Раскажите подробней?
Ты разобрался, от чего ты защищаешься?)
GS
Если речь всё ещё про csrf
M
Ты разобрался, от чего ты защищаешься?)
Насколько я понял, мне не нужна csrf защита. Так как сервер на другом домене и с других доменов нельзя('Access-Control-Allow-Origin', 'https://gitaorg...') отправить запрос, который будет использовать мой авторизированный аккаунт. XSS еще уязвимость есть, не изучил подробно
А вобще у меня проблемы с записью куков по ajax на телефон)
А вобще у меня проблемы с записью куков по ajax на телефон)
S🛸
Насколько я понял, мне не нужна csrf защита. Так как сервер на другом домене и с других доменов нельзя('Access-Control-Allow-Origin', 'https://gitaorg...') отправить запрос, который будет использовать мой авторизированный аккаунт. XSS еще уязвимость есть, не изучил подробно
А вобще у меня проблемы с записью куков по ajax на телефон)
А вобще у меня проблемы с записью куков по ajax на телефон)
Если у тебя API принимает не ajax запросы, то тебе нужна защита
M
Если у тебя API принимает не ajax запросы, то тебе нужна защита
Но API может принимать запросы только из одного адреса, который указан в Access-Control-Allow-Origin. Там уже стоит JWT. Это небезопасно?
M
Вредоносные запросы из собственного приложения это уже XSS, если я правильно понял
S🛸
Но API может принимать запросы только из одного адреса, который указан в Access-Control-Allow-Origin. Там уже стоит JWT. Это небезопасно?
Этот заголовок только для ajax запросов работает
MK
Но API может принимать запросы только из одного адреса, который указан в Access-Control-Allow-Origin. Там уже стоит JWT. Это небезопасно?
CORS только для браузера
для запросов НЕ с браузера это не работает
для запросов НЕ с браузера это не работает
M
Этот заголовок только для ajax запросов работает
А к api можно иначе обатиться?
M
CORS только для браузера
для запросов НЕ с браузера это не работает
для запросов НЕ с браузера это не работает
Но если запрос не с браузера, то и аутентификацию запрос не пройдет и нечего не получит ценного
MK
Но если запрос не с браузера, то и аутентификацию запрос не пройдет и нечего не получит ценного
пройдет, почему нет
S🛸
А к api можно иначе обатиться?
Да, прямой запрос без ajax
M
пройдет, почему нет
А откуда в запросе JWT появится?
M
😢Я понял, что мало изчуил тему...
M
Посоветуете где почитать подробней?
S🛸
Google, как работает http
M
Прокачиваемся в NodeJS. Вот что-то не очень у меня выходит
AA
Привет! У меня есть такая таблица excel, которую мне нужно импортировать в базу данных SQL через Node.js и Sequelize.