Какая лучшая практика по защите от csrf? Есть приложение, состоит из нескольких сервисов, у каждого свой express сервер. Все это проксирует nginx, в зависимости от роута проксирует к нужному сервису. Думаю, что надо внедрить csrf token. Есть готовые решения или лучше свое сделать?

jwt

Можно сделать сервер который будет дирижором вместо nginx, туда поместить это.

Я бы хотел так сделать, но еще не разобрался на счет того как передавать данные о авторизации в эти сервисы. Сейчас приложение уже построено, довольно крупное.

@b101010 Тогда серверный рендеринг не смогу наладить нормально.

ну тогда по старинке

софт не по 5к стоит

Steam комбайн. Месяц - 3500 рублей, навсегда - 8000 рублей. Реально покупают такое?

ну тогда по старинке

Вопрос в другом. Это норм если я буду генерировать токен при каждой загрузке страницы, помещать его. При каждом аякс запросе прикладывать токен. Токен будет хранится в базе/кеше и будет действительный какое-то время. Одновременно может быть у юзера сколько угодно токенов. Нормально? Что может пойти не так?

нормально, у него же может быть в нескольких вкладках открыты страницы

Тогда еще один вопрос, уже про сокеты. Есть socket.io. Нужно запретить подключаться к нему из-под других доменов. Т.е. чтобы кто-либо другой на своем сайте не мог сделать коннект к моему ws серверу. Куда копать?

никак

jwt

а оно как от csrf защищает?

а оно как от csrf защищает?

как я понял, у другого веб сайта нет возможности получить токен

никак

По идее, я же могу увидить какой-то рефер в сокетио при коннекте и дропнуть его. Не нашел как это сделать на практике, если возможно.

и чё, я могу тебе какой угодно заголовок отправить

как я понял, у другого веб сайта нет возможности получить токен

если он в куке хранится то будет отправлен

а оно как от csrf защищает?

если не хрванить в куках, то очень даже защищает

а где тогда?

бля, почитай ещё малях

и чё, я могу тебе какой угодно заголовок отправить

Я имею в виду именно с браузера. Я понимаю, что невозможно защититься от подключения вне браузера.

Т.е. типо cors, но для ws

Я имею в виду именно с браузера. Я понимаю, что невозможно защититься от подключения вне браузера.

Да, там такой же origin и прочие заголовки.

ну а смысл строить 2х метровый забор, если калитка открыта?

ну а смысл строить 2х метровый забор, если калитка открыта?

Какой-то злой владелец большого сайта вставляет в код своего сайта подключение к моему сокет серверу и у меня сильно растет нагрузка ибо посетители чужого сайта коннектятся ко мне. Почему бы не защититься от этого?

кому ты нахуй нужен

рассказал реальную ситуацию

они и так будут конектиться

только если ничего не делать они подключатся и успокоятся

а если 2х метровый забор выстроить, то они будут долбиться в него постоянно

открытие канала более ресурсоемкая процедура, чем его поддержание

бля, почитай ещё малях

а что там читать? если jwt в localStorage то привет xss. если в куках — csrf

ну если у тебя есть возможность для xss то земля тебе пухом братишка с твоими csrf

jwt в localStorage никак не способствует xss, это из другой оперы. Да и при наличии xss тебе ничто не поможет

какие инструменты нынче пользуют для написания сервисов на ноде? с чем поковырятся что бы был востребованный опыт на рынке?

експресс? )

из модных - Koa, а так можно и Express

В express есть какой то true way как передавать данные между модулями. Класть их в res, req, иные варианты ?

Што?

Клади в req

ну как бы да, req обычно всякие middleware и заполняют, чтобы дальше передать

Снк, а то закралось сомнение.

В express есть какой то true way как передавать данные между модулями. Класть их в res, req, иные варианты ?

Часто используют req.locals / res.locals

В express есть какой то true way как передавать данные между модулями. Класть их в res, req, иные варианты ?

В app

App.set, app.get часто видел, как используют

Вот я чаще в res.locals

Смотря какие данные ещё. Те, что уровня всего приложения или уровня запросов

Текущий юзер точно в req res

Что-то более близкое к конфигам - в апп

А через app как передавать, не видел ни разу?

Программисты же, ну запилите бота автокик на длинные ники

Не все так просто

Не все так просто

Всё просто

Проще вызвать админов, в 2 часа ночи

@sergeysova @Atassis

Проще вызвать админов, в 2 часа ночи

Хм.. имеет смысл

ERROR: S client not available

Всё просто

Увы нет

Не, тут скорее если ник слишком длинный в мут кидать и пусть пишет админам чтобы его снять

Скажем так,

пилю идею для стартапа антиспам бот с поиском совпадений в username\about\etc

говно идея

каждый раз у них новый подход

проще кнопку повесить мол "нажми если хочешь выбраться из readonly"

ебать ты гений

как сложно кнопку нажать в 2к18м

как сложно кнопку нажать в 2к18м

ага, напиши бота который её нажмет

или ты из 2006 и всё ещё думаешь что они руками всё делают?

?

???

ненене, ты делай по отлову ботов по содержимому имени

посмотрим как ты с габальдулиной зульфиёй справишься или с джоном дое

и в чате по докеру уже подсказали готового бота который по базе умеет спамеров вычислять

Какой-то злой владелец большого сайта вставляет в код своего сайта подключение к моему сокет серверу и у меня сильно растет нагрузка ибо посетители чужого сайта коннектятся ко мне. Почему бы не защититься от этого?

cloudflare настрой и забудь про это

Привет. Подскажите, либа bcrypt подойдёт, чтобы хэшировать пароль?

Привет. Подскажите, либа bcrypt подойдёт, чтобы хэшировать пароль?

подойдет

подойдет

Спасибо

Нужен бот который просто удаляет тексты-события :( почему его здесь нет?

Уважаемые подскажите, когда я присваиваю контекст переменной и меняю его сохраняется ли присвоеный контекст без изменений ? то есть: this.allax = 1488 const This = this This.allax = 4502 this.allax // ?

Уважаемые подскажите, когда я присваиваю контекст переменной и меняю его сохраняется ли присвоеный контекст без изменений ? то есть: this.allax = 1488 const This = this This.allax = 4502 this.allax // ?

А открыть консоль и проверить?)

Блин

Так как this - это объект, и при присваивании ты сохраняешь ссылку, а не дубликат, то выведет 4502

Почему основной контекст меняется