MS
изоляция в шадоу дом сработает, но обычно ты пишешь не просто изолированые компоненты + не все умеют шадоу дом
а он тут причем? )
Size: a a a
2020 September 09
MS
я не пони
С
Ну в самом деле. Вот блок на странице. Он подгружается в фоне с сервера, который отдает саму страницу. Сервер же берет данные для блока со стороннего сервиса. Технически это возможно. Утечек пользовательских данных будет куда меньше, и все они будут контролироваться владельцем сайта, если он конечно не начнёт пересылать голый JavaScript от стороннего сервиса.
MS
ух
S
а он тут причем? )
Web Components are based on Shadow DOM
MS
Ну в самом деле. Вот блок на странице. Он подгружается в фоне с сервера, который отдает саму страницу. Сервер же берет данные для блока со стороннего сервиса. Технически это возможно. Утечек пользовательских данных будет куда меньше, и все они будут контролироваться владельцем сайта, если он конечно не начнёт пересылать голый JavaScript от стороннего сервиса.
сервер давно данные в жсоне шлет
АА
а он тут причем? )
а как оно изолируется в компоненте?
АА
Web Components are based on Shadow DOM
я вот тоже так понял
С
сервер давно данные в жсоне шлет
Он как угодно может слать, не суть.
MS
ну короче не вариант
K
были когда-нибудь проблемы с этим при penetration tests или других аудитах безопасности? У нас на одном проекте были большие дискуссии с ИБ, примерно такого содержания - https://dev.to/rdegges/please-stop-using-local-storage-1i04 (комментарии хороши)
С xss можно и rest api дёрнуть из контекста приложения
MS
это придется писать виджет под каждый фреймворк-решение
K
При этом браузер заботливо подставит куку
С
ну короче не вариант
Я напомню, что весь цирк с iframe пришёл из времен статичных страниц
С
это придется писать виджет под каждый фреймворк-решение
Да. Разработчикам деньги платить.
S
С xss можно и rest api дёрнуть из контекста приложения
там в комментариях есть этот довод, один из наиболее сильных на мой взгляд
MS
Я напомню, что весь цирк с iframe пришёл из времен статичных страниц
и?
С
Ну они давно уже не статичные.