A
Тоже самое и токен
Size: a a a
2021 January 30
NP
И локально через тот же постман потыкать
V💊
Ты можешь прямо сейчас задеплоить проект на ноде с csurf и express-session
не, это ты у нас доказываешь, что это не возможно, ты и деплой
NP
Удивишься результату
NP
не, это ты у нас доказываешь, что это не возможно, ты и деплой
Так а мне-то зачем?) У меня с безопасностью все ровно, это у вас тут какие-то странные понятия о сессиях, JWT и методах их применения в продакшене
V💊
Так а мне-то зачем?) У меня с безопасностью все ровно, это у вас тут какие-то странные понятия о сессиях, JWT и методах их применения в продакшене
!tmute 30d
R
!tmute 30d
Тссс... помолчи.
Nathan 🦊 заглушен(-а) на 30 дней.
Nathan 🦊 заглушен(-а) на 30 дней.
V💊
было лучше когда ты молчал
R
Вон отсюда!
Заблокировала Nathan 🦊.
Заблокировала Nathan 🦊.
A
Человек рассказывает про CSRF не зная вообще как он эксплуатируется
V💊
я согласен с тем, что сессии + куки как раньше было - отличный вариант. но он не ультимативный.
A
Еще как бы same-origin есть и CORS
SS
Еще как бы same-origin есть и CORS
вполне достаточно
A
"Cookies. Вот мы вернулись к старым «печенькам» которые использовались для хранения cookie sessions. Простое хранения Access токена в cookie чревато атакой CSRF. Более того оно не защищает от XSS атак. Для защиты от CSRF нужно ставить параметр Cookie SameSite в режим Strict– этим можно добиться того что все запросы, которые идут с других сайтов, не будут содержать Ваши credentials, что автоматически лишит атакующего возможности произвести CSRF атаку."
A
Сори, я до этого про "clickjacking" говорил :D про фреймы
A
Ну вообще мы пришли к одному знаменателю. То что хранить Bearer Token в Cookie - нормально.
A
Nuxt/Auth хранит и в куках и в localStorage
AD
Nuxt/Auth хранит и в куках и в localStorage
Когда у тебя трансляция?