A
(и гугл такой - "с 2024 запрещаем хидеры и токены!")
Size: a a a
2020 September 09
AR
план - огонь, только некоторые корпоративные фареволы выкидывают левые хидеры
A
ну
Authorization: Bearer не выкинут
MS
с ифреймом есть воркераунд - сгенери, например, тот же JWT-токен и таскай его везде с собой, в input-hidden например. Правда на беке придется поизвращаться... У вас бек на чем?
джанга
MS
я тоже, насколько я понимаю они дают возможность инкапсулировать css/js/html в независимый компонент, кастомный Shadow DOM
хм, надо будет глянуть. спасибо
K
дорогие фронтендеры, а как мы теперь будем разрабатывать встраиваемые виджеты, если гугл через год запретит 3rd- party куки?
как сессию определять?
в инкогнито-окне уже запретил в последней версии, в обычных табах пока работает...
как сессию определять?
в инкогнито-окне уже запретил в последней версии, в обычных табах пока работает...
Если виджет работает с rest api, то просто передать токен в каком-нибудь заголовке authorization bearer. Заодно вроде не нужна будет защита от csrf
K
Если хочется рендерить на сервере, то печалька
K
да понятно, но как бек отличит одного клиента от другого?
Authorization bearer или другой заголовок
K
Вообще проблемы не вижу, если запросы к api делает подконтрольный вам js
K
Уже несколько проектов куки не используем, храним токен в local storage и передаём ко всем rest запросам в заголовке
K
Это даёт больше контроля
K
И защищает от csrf
S
Уже несколько проектов куки не используем, храним токен в local storage и передаём ко всем rest запросам в заголовке
были когда-нибудь проблемы с этим при penetration tests или других аудитах безопасности? У нас на одном проекте были большие дискуссии с ИБ, примерно такого содержания - https://dev.to/rdegges/please-stop-using-local-storage-1i04 (комментарии хороши)
A
ну да, можно и токен и query-string
кстати хорошая идея с jwt спасибо
SessionID=xxxxxxx.... фишка в том, что в любом придется писать руками какойто свой хендлер сессий на беке.кстати хорошая идея с jwt спасибо
зачем - положи session_id в jwt...
A
про встраивание - пусть придумают как блин сделать изолированный по цсс кусок чего-то на странице
обернуть стили в уникальный css class, уникальный class повешать на рутовый элемент
MS
обернуть стили в уникальный css class, уникальный class повешать на рутовый элемент
ага, щас
MS
потом кто-то умный переопределяет стили для div и все идет нафиг
С
Скажите, а нельзя ли вместо ифреймов просто связывать движки сайтов со сторонними сервисами и генерировать ответы от них на стороне сервера? Встраивать в страницу
С
Я понимаю, что это потребует от васи-вебмастера, чтобы он, вася, работал.