блин дурацкий npm package-lock обновляет постоянно

беда. люди либы патчат. отключи

ломать?)

Нет, зависимости ставить, писать в лок, что поставлено)

И откуда

так я ж просто npm install делаю

а не зависимость обновляю

Ну он там себе пишет, какие пакеты откуда скачались

Клади хуй

самое смешное что ещё на выходных в этом же проекте npm install локфайл не обновлял

с тех пор я обновил нпм правда с 6.4.0 на 6.4.1

Чем опасна кука для поддоменов?

https://blog.meteor.com/why-meteor-doesnt-use-session-cookies-e988544f52c9

Хорошая статья, детально про csrf и отличие cookies от localstorage описано

А я не это спрашиваю

Увы и ах, нам придётся юзать куки

Ибо сайт с ssr

Но меня интересовал именно домен

Чем опасен .host.com

Как с поддомена на домен куки писать?)

Как с поддомена на домен куки писать?)

А нахуя?)

А нахуя?)

как нахуя

с auth.domain.com на domain.com надо

Увы и ах, нам придётся юзать куки

И всё же полезная статья, думаю после прочтения все вопросы должны отпасть... ?

с auth.domain.com на domain.com надо

А нахуя аус иметь на субдомене?

??

И всё же полезная статья, думаю после прочтения все вопросы должны отпасть... ?

Я просмотрел, я это знаю, спасибо)

ибо мне сказали, что с domain.com:3002 на domain.com нельзя

только с субдомена

Просто имей авторизацию на домене

вот и вкатил nginx

??

А не на отдельном субдомене

ты меня не понял

Нахуя тебе auth.site.com?

у меня отдельный сервер

для авторизации

мб спросишь нахуя я так сделал?)

@ssupinsky Я уже плохо помню, как куки работают с поддоменами Мне кажется, там конфликт может быть при работы в мультидоменными куками

мб спросишь нахуя я так сделал?)

Ну, у нас пацаны спокойно настроили себе много машинок, но точка входа всё равно без субдоменов

Ну, у нас пацаны спокойно настроили себе много машинок, но точка входа всё равно без субдоменов

всё ещё не понимаю тебя

у меня есть SSR сервер и Auth service

клиент шлёт Auth service данные для логина

если данные верные, то создаётся сессия и шлётся клиенту хэш сессии

не шлётся, а пишется в http-only session

клиента

А почему нельзя site.com/auth

И проблемы отпадают

Ну вот и я о том же

не по феншую же

Лол))))

api.domain.com/v1/request

так секси же

Почему постоянно кто-то ищет приключения на пятую точку

Сложно с поддомена редачить сессию?

Пиздец, сам себе придумал проблему и ебётся. Зато по фен-шую

клиент шлёт Auth service данные для логина

Это все можно было написать в 1 сообщении

не по феншую же

Кто будет видеть, куда шлются запросы?

Это все можно было написать в 1 сообщении

edit делать придётся, ну лан

Это все можно было написать в 1 сообщении

он еще знаки препинания не проходил

Кто будет видеть, куда шлются запросы?

Так почему я не могу менять с субдомена?)

Так почему я не могу менять с субдомена?)

Ибо нехуй

Жёсткий аргумент :D

Так бы все могли ставить куки на www

Так почему я не могу менять с субдомена?)

Потому что oauth

Так бы все могли ставить куки на www

Было бы охуенно. В стиле мультиплеерного холста с реддита

Так почему я не могу менять с субдомена?)

Я не знаю тонкостей работы с куки, я говорю про сам факт, если вызывает ситуация трудности, то нечего копаться и делай проще

Или пользуйся гуглом

https://stackoverflow.com/a/23086139/4335043

https://stackoverflow.com/a/23086139/4335043

Тут нет ответа

ERROR: S client not available

https://tools.ietf.org/html/rfc6265#section-4.1.2.3

подпись данных

я заметил еще рекламные сети и аналитика активно юзают, ну они третьи стороны и им секурные стороны токенов до лампочки. разве что в контектсе последних законов могут быть проблемы

Как с домена на субдомен скинуть это понятно, но он хочет с субдомена на домен

да, лучше на каждый запрос базу дергать

дернуть редис не стоит почти ничего

Тут нет ответа

Там же написано, чтобы установить куки из поддомена для домена, надо прописать в Set-Cookie: domain=site.com

я заметил еще рекламные сети и аналитика активно юзают, ну они третьи стороны и им секурные стороны токенов до лампочки. разве что в контектсе последних законов могут быть проблемы

А никому нет дела до чьей-то персонализированной рекламы, кто её будет взламывать?

для того точбы переживать о нагрузке на редис нужно быть серьезным хайлоадом

дернуть редис не стоит почти ничего

А инвалидировать?

Кэш-то

Или будешь час ждать?

чего ждать?

Пока кэш обновится

Сбросится

при чем тут кеш вообще

не догоняю

Редис это кэш

Там же написано, чтобы установить куки из поддомена для домена, надо прописать в Set-Cookie: domain=site.com

лучше через domain.com/api, уговорили :D

Редис это кэш

Редис это редис

Там же написано, чтобы установить куки из поддомена для домена, надо прописать в Set-Cookie: domain=site.com

У человека собственный метод чтения видимо. Быстро, но смысла не успевает уловить. Я уже кидал ссылку ему выше, он её тоже «прочитал».

У человека собственный метод чтения видимо. Быстро, но смысла не успевает уловить. Я уже кидал ссылку ему выше, он её тоже «прочитал».

Ну что ты начинаешь

Тут нет ответа

https://t.me/nodejs_ru/253871 И да, не всегда круто так делать так как могут быть конфликты куков (точно хз как протокол работает)

У человека собственный метод чтения видимо. Быстро, но смысла не успевает уловить. Я уже кидал ссылку ему выше, он её тоже «прочитал».

Ты сам мне скинул первую ссылку потому что хуёво прочитал мои сообщения

И не понял о чём я

Так кто ещё из нас лучше читает?

csrf

а если SPA как делать CSRF?

Так же, как и всегда?

Чем spa защищает от csrf?

Если ты имеешь в виду, что кука будет не httpOnly, то тогда через xss дадут пизды

Кругом враги крч

Так же, как и всегда?

о рили? есть опыт или чисто мысли вслух?

формы на сервере не генерируются у нас в спа

Ты имеешь в виду защиту от csrf?