NP
Почему я не смогу положить токен в куку не очень понял?
Мы про secure-way говорим. А секурно ты JWT не положишь в куку, хоть усрись. У тебя в любом случае она будет не-http
Size: a a a
2021 January 30
NP
А кукам без флага http-only можно получить доступ через фронтовый JS
A
При наличии XSS
A
Не надо кошмарить людей)
NP
При наличии XSS
Да не только. Любой вредоносный плагин для хрома может выполнять JS код на клиенте без ведома клиента
V💊
Мы про secure-way говорим. А секурно ты JWT не положишь в куку, хоть усрись. У тебя в любом случае она будет не-http
с чего ради?
A
Смотрю в Chrome куча таких плагинов (нет)
R
Мы про secure-way говорим. А секурно ты JWT не положишь в куку, хоть усрись. У тебя в любом случае она будет не-http
А ну секьрно да, я думал просто физически не смогу)))
NP
с чего ради?
Нук, а расскажи ка мне, как ты HTTP-JWT сделаешь?)
VY
не могу найти начало спора...
с чего начали-то? :)
и о чем речь сейчас?
кто-то может описать нормальную концепцию безопасности?
или дайте, плз ссылку
с чего начали-то? :)
и о чем речь сейчас?
кто-то может описать нормальную концепцию безопасности?
или дайте, плз ссылку
V💊
Нук, а расскажи ка мне, как ты HTTP-JWT сделаешь?)
просто на бэке положу в jttponly куку и всё
NP
не могу найти начало спора...
с чего начали-то? :)
и о чем речь сейчас?
кто-то может описать нормальную концепцию безопасности?
или дайте, плз ссылку
с чего начали-то? :)
и о чем речь сейчас?
кто-то может описать нормальную концепцию безопасности?
или дайте, плз ссылку
NP
просто на бэке положу в jttponly куку и всё
Ага, а на фронте ты как ее дернешь, чтобы в Authorization заголовок подставить?))))
V💊
Ага, а на фронте ты как ее дернешь, чтобы в Authorization заголовок подставить?))))
не буду доставать, бэк сам прочитает её из куки при запросе
NP
не буду доставать, бэк сам прочитает её из куки при запросе
Поздравляю, теперь твой токен - это session_id
NP
Ты только что переизобрел сессии
R
Ага, а на фронте ты как ее дернешь, чтобы в Authorization заголовок подставить?))))
А зачем добавлять то туда? У нас что везде basic авторизация?
V💊
Ты только что переизобрел сессии
поздравляю, ты цитируешь Климова
NP
А зачем добавлять то туда? У нас что везде basic авторизация?
Ты путаешь Basic и Bearer авторизацию)