ну я же вопрос задал 2 сообщениями выше

он у тебя уже исчез?

> если spa, как делать csrf

Как атаковать или как защищаться?

жжошь

ну давай расскажи как атаковать

От сука)

Я тебя вообще не понимаю)

*пошел за попкорном

Так же, как и всегда?

короче я понял, это ты у меня спрашиваешь

Тож не понял

я думал ты типо констатировал, а знак вопроса это типо сарказм

я думал ты типо констатировал, а знак вопроса это типо сарказм

Ну, это так и было

Но я тебя всё равно нихуя не понимаю

тогда к чему странный вопрос про то как осуществить атаку

неужели не понятно что я спрашивал как быть с имплементацией в спа

csrf в spa это шик

где формы не генерируются на беке

Использовал кто-нибудь? https://github.com/node-vk-bot-api/node-vk-bot-api

неужели не понятно что я спрашивал как быть с имплементацией в спа

Не, не понятно. Потому что "как делать csrf" это "как делать атаку"

короче я так понял ты понятия не имеешь как сделать csrf в спа

а щас просто съезжаешь

Ну почему

Могу рассказать как у нас сделано

Но тебе не понравится)

Давай

Кука не http only и шлётся в заголовке Authorization когда надо

короче я так понял ты понятия не имеешь как сделать csrf в спа

Ты понятия не имеешь как выражать свои мысли)

а если SPA как делать CSRF?

что может быть не понятно в этом вопросе?

"Как сделать cross-site request forgery" у тебя вдруг стало "как защищаться от csrf"

Схуяли?

Мне не понятно. Бо вкатлися в разгар рассуждений. Расскажите вы о чем?

Я откуда знаю, что ты про защиту?

или надо было так - "а если SPA как защитится от уязвимости CSRF"

это называется - доебался

или надо было так - "а если SPA как защитится от уязвимости CSRF"

Было бы в самый раз

Спасибо

Мне не понятно. Бо вкатлися в разгар рассуждений. Расскажите вы о чем?

Та доебались друг до друга хуй пойми зачем

Такое бывает

Кука не http only и шлётся в заголовке Authorization когда надо

Так вот, тебе нравится?

А в чем камень предкновения?

если бы я хотел спросить за атаку, я бы спросил "как сделать CSRF атаку"

странный чел.

А в чем камень предкновения?

Формулировка предложений

если бы я хотел спросить за атаку, я бы спросил "как сделать CSRF атаку"

Я тебя не знаю, откуда мне знать, что ты там себе думаешь

что может быть не понятно в этом вопросе?

ну вообще в данном случае он прав, формально, csrf это атака, а не защита :) но можно было бы догадаться...

Формулировка предложений

Ох щит, классика

ну вообще в данном случае он прав, формально, csrf это атака, а не защита :) но можно было бы догадаться...

Можно было, я согласен

странный чел. редис кеш, да

и не лень было вот это все писать

на ровном месте

ну вообще в данном случае он прав, формально, csrf это атака, а не защита :) но можно было бы догадаться...

а как мы знаем, лучшая защита - нападение :D

Та забей, боже)

Ты лучше скажи, нравится ли тебе метод защиты))

(касательно формально прав)

Сук, то чувство когда хочется ворваться в срач но лень перечитывать портянку

Ты лучше скажи, нравится ли тебе метод защиты))

хз, это по сути компромис. надо подумать что может злоумышленник сделать с токеном без httpOnly. получается он точно также сможет засабмитить форму

хз, это по сути компромис. надо подумать что может злоумышленник сделать с токеном без httpOnly. получается он точно также сможет засабмитить форму

Если менее тупой способ есть, то я бы тож послушал

Но пока у нас так

нету, я вообще не реализовывал

а тут еще и спа

Ну мы пока просто надеемся, что нету xss

Уже год прокатывает

)))

я на днях буду пробовать, может чето нарою

теоретически, можно передавать готовую верстку и рендерить ее в приложении

ERROR: S client not available

у вас что за фронт?

хз, это по сути компромис. надо подумать что может злоумышленник сделать с токеном без httpOnly. получается он точно также сможет засабмитить форму

так даже если он получит токен/хэш сессии

*верстку формы я имею ввиду

сессия привязывается к user agent'y

(касательно формально прав)

Ну, я не отрицаю, мог бы догадаться. Но и себя винить не буду, не обязан был догадываться)

аа

теоретически, можно передавать готовую верстку и рендерить ее в приложении

лол

у вас что за фронт?

react

лол

что?

ssr

что?

подход из 1996

мой дед так делал еще

*верстку формы я имею ввиду

Кто в спа работает с нативными формами?

Кто в спа работает с нативными формами?

А как же progressive enhancement?

а они там какие-то особенные?

да, инпуты контролируются

почитай про реакт

мой дед так делал еще

так все так делали кто рендерил темплейты на сервере

А как же progressive enhancement?

Что из it?

Что из it?

Ну чтобы без js всё равно оставался функционал

а они там какие-то особенные?

Особенные

да, инпуты контролируются

у меня и так обернуто в компоненты. толкьо не реакт а вью

а они там какие-то особенные?

Ну там можно нахуячить без инпутов дефолтных

Ну чтобы без js всё равно оставался функционал

Ты видел такие spa?

Ты видел такие spa?

Ни разу в жизни)))))

Но по-хорошему надо

Ну там можно нахуячить без инпутов дефолтных

Можно вообще без инпутов

Ну я это и имел в виду

при чем тут инпуты вообще. вы вообще csrf понимаете что это такое?

при чем тут инпуты вообще. вы вообще csrf понимаете что это такое?

А ты?

речь о том как доставить их на клиент

Можно вообще без инпутов

Мы так и делаем, но чуток стыдно за это. tabindex и всё такое