А для локалстораджа мы такое сделать не можем, т.к. жс — единственный способ с ним работать.

стhttps://html.spec.whatwg.org/multipage/webstorage.html#dom-localstorage

там есть раздел про это

s/можем дёргать их/можем запретить дёргать их/

там есть раздел про это

И что конкретно запретит подгруженному извне скрипту дёрнуть наш локалсторадж?

Речь вот о чём: ты используешь левый cdn, а он вставляет туда весёлый скрипт и начинает читать твои куки/локалсторадж.

да вот непонятно

Thus, strictly following the origin model described in this specification is important for user security.

Или библиотеку, подгруженную чёрте откуда

но это значит, что обертки с cdn не будут работать тоже

Почему?

ну если доступ будет ограничен с других доменов

Браузеры не следят, скриптом с какого домена создался каждый объект. Важно только то, на каком домене мы сейчас находимся.

Есть CSP, но он вообще все левые скрипты режет, а не избирательно по функционалу.

Чтобы разрешать подгружать скрипты со стороннего домена но делать какое-то разграничение во времени выполнения, основываясь на том, скриптом с какого домена был создан объект/функция — надо было бы для каждого объекта каким-то образом хранить эту информацию.

Этого нет.

@vkurchatkin Когда там речь про origin идёт — имеется ввиду то, где мы сейчас находимся. А не то, откуда подгрузился скрипт.

Ну да

Ну вот =).

Поэтому любой левый скрипт может всегда прочитать весь локалсторадж. Но не куки — их можно вообще запретить читать из скриптов.

Везде есть свои подводные камни, и в каждой области фокус на кардинально разных моментах. А почему такой вопрос возникает?

Правда, если у кого-то на сайте левый зловредный скрипт — то всё уже просрано.

Хотя, чтение сессии значительно облегчает атаки в таком случае.

Ребят, а sierra кто нибудь ставил?

я

с брю проблем нет. есть проблемы с питонами

с первой беты не сиерре

а что за проблемы?

они не собираются

кто-нибудь веб пуши именно на ноде делал с библиотекой web-push? Почему он может мне делать мозги arguments must be a buffer в нижестоящей либе http ece хотя требует base64 на вход внутрь себя?

Уточню при прикладывание payload’а для chrome 50+

Ок разобрался оно не кушает Object’ы и ожидает либо строку либо Buffer но на другие типы данных исключения не бросает ._. пошел PR’ить

Кто все эти люди

¯\_(ツ)_/¯

¯\_(ツ)_/¯

¯\_(ツ)_/¯

В какой-то конторе узнали о существовании телеграма и паблик чатов

ой шо будет

Раньше они думали люди голубиной почтой переписуються?

¯\_(ツ)_/¯

¯\_(ツ)_/¯

люди писать разучились ?

¯\_(ツ)_/¯

¯\_(ツ)_/¯

люди писать разучились ?

ты почему написал "переписуются"?

это же просто дичь

ты почему написал "переписуются"?

"переписуються"

ну у меня рука не поднялась точно процитировать

проитировать)

ERROR: S client not available

блин пора это прекращать)

это не описка

В блоге Deis (Heroku-подобный open source PaaS на базе Kubernetes) опубликовали разбор работы хранилища образов, volumes, механизма copy-on-write и различных storage drivers. Материал не сильно глубокий, но будет очень полезен тем, кто только начинает разбираться с Docker. http://amp.gs/8Gn8

только начал изучать node.js подскажите пожалуйста, как выводить в удобночитаемом виде инфу в консоль?

и вообще средства дебага

console.dir

только начал изучать node.js подскажите пожалуйста, как выводить в удобночитаемом виде инфу в консоль?

Мне коллега подсказал https://www.npmjs.com/package/console-stamp.

только начал изучать node.js подскажите пожалуйста, как выводить в удобночитаемом виде инфу в консоль?

ещё есть winston, неплохой логгер

ещё есть winston, неплохой логгер

вот вот только хотел спросить после кантора, удобен ли, стоит ли юзать)

А вообще — удваиваю ❄️, лучше разобраться с винстоном, т.к. это практически стандарт.

вот вот только хотел спросить после кантора, удобен ли, стоит ли юзать)

не знаю, мне понравился :)

спасибо всем

Лично мне log4js понравился

я во всех проектах bunyan юзал)

пишите логи в sentry

в деве nodemon src/index.js | bunyan, в продакшене логи в json куда угодно можно складывать

логи в sentry?

туда же вроде просто события

логи ошибок / исключений

при желании и логи уровня INFO можно заливать

имхо это не для логов, а для событий. Да, это могут быть info события

логи обычно подробнее

А кто-нибудь Elastic Logstash использовал?