МВ
я просто не понимаю, поч раньше там не ловилось. Что-то из серии 'не там запятая стоит'. Прям голову сломал
а у тебя не с мейлером связана проблема
Size: a a a
2020 June 14
МВ
а то у меня сейчас уквально та же ошибка при попытке отправить письмо
2020 June 15
IN
Как вы регистрируете корсы? К примеру я хочу чтобы пользователь зарегал свое приложение где-то в моем UI'е и корсы начали работать для него.
Мне кажется странным каждый раз проверять ориджин, мб есть какое-то популярное решение? И не хочется на токенах завязывать и так сессия на токенах работает.
Или все же норм:
?
Мне кажется странным каждый раз проверять ориджин, мб есть какое-то популярное решение? И не хочется на токенах завязывать и так сессия на токенах работает.
Или все же норм:
origins do |source, env|
Client.exists? source: source
end
?
IN
И в дальнейшем вести простую метрику и отдавать логи по домену
МВ
я вообще не очень понимаю что такое корсы и зачем нужны
IN
я вообще не очень понимаю что такое корсы и зачем нужны
У тебя апишка весит на одном сервере (со своим доменом), а фронт на нескольких других. CORS будет разрешать запросы только с 'доверенных' доменов. Добавляет немного безопасности от ддудоса и ты всегда знаешь с каких доменов на твой апи шлют запросы и ты в любой момент можешь заблочить их
МВ
ага, т.е. по сути вайтлист клиентов кто может в моё апи стучаться
IN
В рельсах вроде как из коробки идёт
МВ
да, я чёто там врубал но не понял зачем и как
IN
ага, т.е. по сути вайтлист клиентов кто может в моё апи стучаться
Да, впринципе)
МВ
в итоге поставил где можно * и успокоился
IN
в итоге поставил где можно * и успокоился
Так и часто и делают, просто порой не хочется открывать некоторые ресурсы апи в общий доступ) например, админка только на одном домене, а всякие там новости, комментарии на всех)
МВ
ага, понял тебя, спасибо, всё понятно)
A
У тебя апишка весит на одном сервере (со своим доменом), а фронт на нескольких других. CORS будет разрешать запросы только с 'доверенных' доменов. Добавляет немного безопасности от ддудоса и ты всегда знаешь с каких доменов на твой апи шлют запросы и ты в любой момент можешь заблочить их
А если в hosts прописать этот домен, то получается можно подделать запрос.
VE
В рельсах вроде как из коробки идёт
Прикольно, гляну. Может в 5-6 внедрили. Использую rack-cors гем
IN
А если в hosts прописать этот домен, то получается можно подделать запрос.
Да там можно простыми заголовками все слать. То есть обмануть корсы как делать нечего. Но тут уже вступает в работу сессии и авторизации пользователей)
Корсы лишь помогают бороться с скриптиками которые получают люди как вирусы или троллями которые делают ботов для ддудоса - заблочить в разы проще разом
Корсы лишь помогают бороться с скриптиками которые получают люди как вирусы или троллями которые делают ботов для ддудоса - заблочить в разы проще разом
IN
Прикольно, гляну. Может в 5-6 внедрили. Использую rack-cors гем
Да, я про него, он вроде как вместе с рельсами идёт сейчас
IN
Во всяком случае в мидлеварах показывает