так чтобы потом JS мог прочитать токен

так чтобы потом JS мог прочитать токен

Какой токен? Какой js?

csrf-токен

я не понимаю нафига вы отвечаете если вы не читаете о чем речь

я не понимаю нафига вы отвечаете если вы не читаете о чем речь

Та тут просто разговор в другую плоскость пошёл

я не понимаю нафига вы отвечаете если вы не читаете о чем речь

Опиши проблему в целом

нам надо верифицировать сабмит формы

Опиши проблему в целом

Он хочет защищаться от csrf дедовским способом с csrf-токенами. Вопрос, как это делать, если разметку генерит клиент

с помощью csrf токена

во

Он хочет защищаться от csrf дедовским способом с csrf-токенами. Вопрос, как это делать, если разметку генерит клиент

а почему дедовский? я прошелся по всем соцсетям, везде он

Так потому и дедовский))

Так если нет формы как таковой

та неважно. данные улетающие

Так если нет формы как таковой

Ну если кука httpOnly, то можно отправить юзера на апи каким-то подлым способом и выполнить действие

Я очень хуево выразился

Но надеюсь, что вы поняли))

я понял

Ну если кука httpOnly, то можно отправить юзера на апи каким-то подлым способом и выполнить действие

а у меня вот вопрос возник. ок, представим что мы по олдскульному втсавили токен в форму. так ведь JS же может его прочитаь?

Ура

а у меня вот вопрос возник. ок, представим что мы по олдскульному втсавили токен в форму. так ведь JS же может его прочитаь?

Так js же и генерит форму эту

тогда смысл боятся xss

а у меня вот вопрос возник. ок, представим что мы по олдскульному втсавили токен в форму. так ведь JS же может его прочитаь?

Может

тогда смысл боятся xss

Потому что от него защищаться тяжело

Если есть юзер инпут где-то

И он выводится как html

То это потенциальный xss

Так js же и генерит форму эту

тогда получается и кука без httpOnly будет норм?

тогда получается и кука без httpOnly будет норм?

Нет, если где-то на сайте случилась беда с обработкой юзер инпута, то злоумышленник может прочитать куку и украсть

Вставить свой скрипт, который прочитает куку и отправит её себе, например

Или чего похуже

Нет, если где-то на сайте случилась беда с обработкой юзер инпута, то злоумышленник может прочитать куку и украсть

так ведь и токен в форме сможет?

Токен в форме не так страшно

так в обоих случаях JS может прочесть и украсть. чего я не догоняю?

Если кука httpOnly, то через js не прочесть

ну и что, прочтёт он куку

или я опять не догнал вашу речь :D

Если кука httpOnly, то через js не прочесть

да какая разница

Если кука httpOnly, то через js не прочесть

так у тебя же без хттпОнли

ну и что, прочтёт он куку

Ну, мы так и подумали и забили хуй)

так у тебя же без хттпОнли

Я просто критикую наш подход

я могу лично хакеру свою куку скинуть

хуй он залогнится по ней

а я его защищаю, ибо говорю тебе что получается же в форме тоже моно прочесть токен - так тогда каая разница?

токен JWT?

короче, получается что токен в форме ничем не лучше токена в куке БЕЗ хттпОнли, и можно не ебать мозг с рендерингом формы?

токен JWT?

опять блин

короче, получается что токен в форме ничем не лучше токена в куке БЕЗ хттпОнли, и можно не ебать мозг с рендерингом формы?

в куках не хранится же сессия

там храниться идентификатор сессии

короче, получается что токен в форме ничем не лучше токена в куке БЕЗ хттпОнли, и можно не ебать мозг с рендерингом формы?

Ну, всё-таки чуть-чуть лучше, но не настолько, чтобы ебаться

ты шлёшь, у меня сессия с таким идентификатором и шлёшь свой useragnet с айпишником

ERROR: S client not available

токен JWT?

У нас да))00

или сервер чекает

если находится сессия в бд, с таким агентом и айпишником

то ок, если нет - шлёшь нахуй

так если я узнаю ID твоей сессии

Я не смогу её заюзать

Ну, айпишник меняется по 100500 раз

С мобилок там

в телеге даже

если ты с компа

зайди в настройки, сессии

и увидишь все свои сессии с акком связанные

Ну, айпишник меняется по 100500 раз

я образно, не обязательно только по айпишнику

лан, я пошёл

Давай

Я чето тоже запизделся

ахахах

вы все продолжаете)

вы все продолжаете)

Та пиздец, я только попал сюда, а ты как начал со своим jwt, так я опомнился через 2 часа

?

node_acl это какой-то лютейший пиздец. это уже второй пакет от этих ребят с которог оя просто прозреваю. более сырой и непонятной документации + сложности самого модуля я еще не встречал

сначала я ахреневал пока разбирался с bull, а теперь это

я блять вообще не пойму как эту срань использовать

сука, даже демка не заводится

откуда он userIdберет?