M
@i_bo0om У тебя случайно не было кейсов CORS с JWT ?
Size: a a a
2020 August 27
M
Или это из области фантастики?
B
@i_bo0om У тебя случайно не было кейсов CORS с JWT ?
Не, не видел
M
А если бы в Access-Control-Allow-Headers: authorization был ?)
M
В теории возможно?
GD
А если бы в Access-Control-Allow-Headers: authorization был ?)
в ACAO - твой домен?
M
в ACAO - твой домен?
схерали?) Он как то косвенно на меня намекает что ли?
GD
тогда какая тебе раница, что в authorization?
GD
или я не понима, что ты хочешь сделать
M
Access-Control-Allow-Origin: example.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Content-Type
M
Но у мну JWT
M
мне пох на куки
M
И я задумался, если бы хидер джвт был бы разрешен
M
ибо jwt идет в хидере
authorization: Bearer <base64(header)>.<base64(payload)>.<base64(sig)>
authorization: Bearer <base64(header)>.<base64(payload)>.<base64(sig)>
M
Дай спросил, мб были кейсы...
GD
И я задумался, если бы хидер джвт был бы разрешен
если бы был, то всё работало бы бы
M
Пойду погуглю как реализуют корс с джвт. Мб зацеплюсь за что то
A
ибо jwt идет в хидере
authorization: Bearer <base64(header)>.<base64(payload)>.<base64(sig)>
authorization: Bearer <base64(header)>.<base64(payload)>.<base64(sig)>
Allow-credentials: true распространяется на куки и basic authorization. Если я не ошибаюсь.
VS
Allow-credentials: true распространяется на куки и basic authorization. Если я не ошибаюсь.
Именно так.
I
А в чем заключается идея? Ты хочешь жертве подставить свой jwt токен в запрос?