я так понимаю, пойдет же любой guid?

который генерируется запросом и действителен некоторое время

и хранится в оперативке, да?

и хранится в оперативке, да?

да

а то что реакт не важно

просто в head ложи его по умолчанию и всё

я понимаю, что не важно, проблема в том, что встроенные сложно использовать

в хеад? При установлении сессии?

нет

да

просто при каждом рендере страницы новый токен в хеде

клево, спасибо

а при форме просто ты его проверяешь на бякенде

угу, я понял, звучит изи

так и есть

просто при каждом рендере страницы новый токен в хеде

Можно просто при авторизации

мне для авторизации надо)

в форму авторизации

На каждый рендер это лишние нагрузки

Просто токены на авторизацию

UID сессии, грубо говоря

блин, понял, что надо сделать токены везде...

Установи глобальную через head

при текущей реализации можно сделать айфрейм, что изменит человеку описание в профиле)

сейчас сварганю

только тестовый XSRF сделаю, чтобы проверить защиту

я не хацкер, как мне правильно айфрейм сделать с пост запросом, чтобы в нем куки использовались?

там же вроде ограничение на домены

@mardybm спасибо за стикер ?

алер, ты когда сделаешь токен, дашь на проверку?

так он меняться будет каждый заход

берешь токен, отправляешь его в посте

все

если токен берется из гета

Кстати, переходим к другому вопросу, а как инвалидировать токены?

то есть в какой момент мне их надо выкинуть из таблицы доверенных

то есть в какой момент мне их надо выкинуть из таблицы доверенных

так ты при каждом рендере страницы просто новый генишь в сессия

и всё

у меня рендерится страница один раз

это же реакт

ааа

Токен делаешь при создании сессии

Проверить: создаешь форму и отправляешь

Форма внутри iframe

что мешает сделать запрос за токеном? Перед атакой

Авторизация?

Нужен логин и пароль

Чтобы получить токен

А для формы авторизации?

хотя для нее защита не нужна такая

Нужен логин и пароль чтобы получить токен

для нее надо проверять попытки на бекенде

Это как oAuth

ну да понял

Пользователь отдает логин и пароль

Ему ключ сессии

Ключ сессии в head

у меня в relay запросе есть user

это как раз авторизационные данные

Кукушки можно отправить с другого домена

ну если сессия есть

туда токен добавлю

Не через ajax или сродни

А именно нужно создать DOMElement — форму

Внутри данные для запроса

Плюс автоотправка через JS

понял

ERROR: S client not available

это как спамили раньше через формы на сайтах

Пользователь видит фрейм и автоматически отправляет запрос и данные для авторизации тебе не нужны чтобы выполнить от него какое-то действие

это как спамили раньше через формы на сайтах

Да, что-то вроде того

@Razrab начал бой на Алербардах c удара на целых 800 Гелиончиков! Кидайте алербарды в течение трех минут в @alerbarda_bobot, и получивший больше Гелиончиков победит! Да прибудет с вами Алер.

@wsmichel победил в боях на Алербардах c 918 Гелиончиками! Результаты: @wsmichel: 918 @b_ape: 910 @Razrab: 800 @jet4fire: 772 @nof1000: 359 @Derik117: 206 Всего было выбито 3965 Гелиончиков.

@Razrab начал бой на Алербардах c удара на целых 80 Гелиончиков! Кидайте алербарды в течение трех минут в @alerbarda_bobot, и получивший больше Гелиончиков победит! Да прибудет с вами Алер.

@Derik117 победил в боях на Алербардах c 995 Гелиончиками! Результаты: @Derik117: 995 @AxiS575: 572 @gavriley: 144 @babrums: 134 @Razrab: 80 Всего было выбито 1925 Гелиончиков.

Приветик :3

привет

Как ваше ничего?

гууд

норм, @jeff_fisher а твое ничего?

привет)

А именно нужно создать DOMElement — форму

слушай, у меня же релай и он ждет от запроса json

и у меня в хедеры попадает именно объект, а не сериализованный json

Хочу умереть, защищая любимую женщину, прикрыв её своим телом. И чтобы это все увидели. И сказать ей умерая на её руках, что люблю её. Но такой охуенной смерти у меня никогда не будет, потому что я до конца своих дней буду компьютерщиком

может ли форма как-то json отправить?))

слушай, у меня же релай и он ждет от запроса json

передавай токен в header

передавай токен в header

я с токеном понимаю, вопрос не в этом

мне нужно сделать тестовую атаку на сайт

норм, @jeff_fisher а твое ничего?

Тоже ничего)

чтобы проверить защиту, но я не могу сделать форму для отправки запроса, так как в данных должен быть объект, а я что-то не пойму как его нативными средствами формы отправтиь

понял все

я делал через точки, а надо было []

variables[input_0][id]:1866

нихрена

все равно в хедер запроса так пишется

так, а зачем тебе нативными средствами формы слать json