VP
Konstantin dmz9
наверно надо сделать скидку на возраст статьи, 2008 год, еще поголовного хттпс не завезли
HTTPS - это совсем другая история, там же про другое
Size: a a a
2020 September 14
QH
не-не, давайте всё в кучу
Kd
HTTPS - это совсем другая история, там же про другое
про какое другое, про то что там уже не plain text по сети ходит?
VP
Я, может, тупой, но разве законно исполнять
application/json как скрипт?И вообще, запрос ресурсов с левых мест должен быть явно разрешён в CORS, не?
VP
Konstantin dmz9
про какое другое, про то что там уже не plain text по сети ходит?
Чегоблядь?
QH
Konstantin dmz9
про какое другое, про то что там уже не plain text по сети ходит?
какая разница, если здесь компрометируется не протокол передачи? Это не сниффинг и не митм
QH
И вообще, запрос ресурсов с левых мест должен быть явно разрешён в CORS, не?
Это не только для AJAX работает?
AM
не-не, давайте всё в кучу
Согласен, давайте в кучу. Вот это вот -- пиздец:
The hack involves redefining the Array constructor, which is totally legal in Javascript.
The hack involves redefining the Array constructor, which is totally legal in Javascript.
Kd
какая разница, если здесь компрометируется не протокол передачи? Это не сниффинг и не митм
я как раз про второе и подумал
VP
Это не только для AJAX работает?
Да вроде нет
QH
Да вроде нет
я прост много лет подряд подключал jQuery с чужих сайтов)
VP
я прост много лет подряд подключал jQuery с чужих сайтов)
Не с CDN?
QH
Не с CDN?
И так, и эдак.
VP
И так, и эдак.
Хм, неужели по дефолту всё можно
QH
Согласен, давайте в кучу. Вот это вот -- пиздец:
The hack involves redefining the Array constructor, which is totally legal in Javascript.
The hack involves redefining the Array constructor, which is totally legal in Javascript.
мне интересно, почему тогда не переопределить конструктор обджекта?
AK
Konstantin dmz9
для исполнения jsonp придумали
как обычно костылей придумали для этих ваших браузеров, а потом падают с них
Kd
как обычно костылей придумали для этих ваших браузеров, а потом падают с них
наших ага, хром лично я написал а файрфокс мой друг
VP
И так, и эдак.
Видимо, должно поддерживаться сервером
AM
Так. В статье сниппет, который, находясь на чужом домене, с домена вашей апишки запрашивает жисон, надеясь, что вы там авторизованы. А потом с помощью хака с конструктором массива забирает себе данные.
Расскажите мне, далёкому от этих ваших вебов, CORS разве не за защиту от этого отвечает?
Расскажите мне, далёкому от этих ваших вебов, CORS разве не за защиту от этого отвечает?
VP
Как же хорошо не лезть на фронт и не думать обо всём этом