Vladimir
суть не в этом
Igor
Фактически при Ajax у тебя токен будет в открытом виде. Это не кошерно.
Vladimir
в обычных случаях csrf не нужен
Vladimir
это можно сказать и обычный открыт 😀
Artem
А в обычной поставке джумлы у тебя токен в json'е лежит. Это кошерно?
Artem
А в обычной поставке джумлы у тебя токен в json'е лежит. Это кошерно?
В теле страниц и доступен даже без js
Igor
это можно сказать и обычный открыт 😀
Для обычного тебе всю страницу парсить нужно а тут просто запрос
Artem
Для обычного тебе всю страницу парсить нужно а тут просто запрос
Запрос, учитывающий сессию! Т.е тебе, чтоб наебать, нужно 2 точки с одинаковыми параметрами сессии стартануть
Artem
И только потом ты сможешь получить токен
Igor
Повторюсь прямой запрос на получение токена не кошерно.
Igor
Кстати а что если его в куку засунуть.
Igor
Я просто уже пару дней над этим думаю.
Александр
Приветствую всех, сейчас такой интересный вопрос возник, разместил тему на форуме joomla в коммерческий раздел, что нужна помощь в разработке компонента, написал парень, спросил все как надо, говорит 50% предоплата, рейтинг на форуме почти нулевой, деньги просит на qiwi или Тинькофф, что то мне закрались сомнения, не подскажите как можно его проверить?
Eugene
Приветствую всех, сейчас такой интересный вопрос возник, разместил тему на форуме joomla в коммерческий раздел, что нужна помощь в разработке компонента, написал парень, спросил все как надо, говорит 50% предоплата, рейтинг на форуме почти нулевой, деньги просит на qiwi или Тинькофф, что то мне закрались сомнения, не подскажите как можно его проверить?
предложите ему использовать площадку фриланса в качестве посредника. деньги он получит тогда, когда вы примете работу. система возьмет комиссию, но вопрос будет решен
Александр
Точно, что то я об этом не подумал
Александр
Спасибо большое
Ali
https://www.anti-malware.ru/news/2021-03-29-114534/35416
надоели эти хакеры уже )))
житья нет от них
Artem
Приветствую всех, сейчас такой интересный вопрос возник, разместил тему на форуме joomla в коммерческий раздел, что нужна помощь в разработке компонента, написал парень, спросил все как надо, говорит 50% предоплата, рейтинг на форуме почти нулевой, деньги просит на qiwi или Тинькофф, что то мне закрались сомнения, не подскажите как можно его проверить?
ещё вариант - скинуть ссылку на профиль в общий чат и спросить, кто работал с этим человеком, какие отзывы?
Александр
Отличная идея, спасибо, а то все не могу совладать с табелем этим, решил помощь из вне позвать
Igor
Отличная идея, спасибо, а то все не могу совладать с табелем этим, решил помощь из вне позвать
Защита сделки фриланс либо договор. Ни каких других вариантов.
Sergey
Отличная идея, спасибо, а то все не могу совладать с табелем этим, решил помощь из вне позвать
Кворк можно попробовать, там были терпимые проценты когда-то. Сейчас надо смотреть.
Александр
Кворк можно попробовать, там были терпимые проценты когда-то. Сейчас надо смотреть.
Уже разместил там, позже напишу человеку с форума, если не захочет, сразу будет понятно, а пока так поищу
Vladimir
обсуждал этот вопрос со стасом
Vladimir
он одобрил
Vladimir
в итоге остановились на получении токена в аяксе
Vladimir
джумла же формирует куки в сессии
Vladimir
сама джумла следит
Vladimir
я не слежу
Vladimir
Ну я к тому что а почему не засунуть токен в куку
ну по сути он там и есть. только в сессии
Vladimir
но вот совать токен в куку не надо
Vladimir
тогда она будет открыта
Vladimir
просто если токен хранится в сессии - ее проверяет сервер
Vladimir
а вот если ты токен хранишь в куке - то она доступна js
Igor
а вот если ты токен хранишь в куке - то она доступна js
Так же как и прямой запрос на ajax, но вот только кука другого сайта может быть защищена от кросс домена.
А с ajax выходит отправляем запрос getToken с фишинга на сайт.
И второй запрос с токеном в теле = вин.
Vladimir
Vladimir
ты понимаешь вообще зачем csrf?
Igor
на другом сайте другие
Там суть в том что запрос идет на твой сайт через ajax. тобишь проходит от лица клиента.
Класический способ подделки.
Igor
Поэтому токены и хранят именно в теле страницы.
Vladimir
Поэтому токены и хранят именно в теле страницы.
ну с таким подходом можно парусить страницу оригинала
Vladimir
суть в том чтобы предотвратить отправку формы с другого сайта от твоего имени
Igor
суть в том чтобы предотвратить отправку формы с другого сайта от твоего имени
Я написал, как это сделать. сессия будет одна получил токен и отправил запрос.
У тебя же не закрыт получение токена с другого сайта.
Vladimir
Я написал, как это сделать. сессия будет одна получил токен и отправил запрос.
У тебя же не закрыт получение токена с другого сайта.
почему же? ты проверяешь откуда пришёл запрос
Vladimir
всегда известно откуда запрос
Vladimir
у меня включается в форму
Vladimir
у меня нет прямого ответа токена в аякс запросе
Vladimir
вызов запроса меняет ТЕКУЩУЮ страницу
Vladimir
то есть он Не возвращает токен!
Vladimir
в ответ на запрос он меняет текущую страницу
Vladimir
причём страницу сайта
Vladimir
то есть по сути тот же принцип что и с обычной страницей
Vladimir
не отдаёт
Vladimir
он вписывает токен в страницу
Artem
Люблю яндекс!
Они предупредили, что сегодня будут проводиться работы в датацентре, где размещён мой клиент.
Они предупредили, что все машины будут предварительно перемещены в другой ДЦ
Сегодня с 12:01 до 12:09 у меня лежали базы данных 🤷♂️
Artem
работы у них с 11 до 17
Artem
А хули! Ночью спать нужно!
Vladimir
на этом сайте он отработает а при вызове на другом - нет
Igor
Там как-то через iframe и jsonp делают
Igor
Ну твоем случае пофиг, ты все равно в форму пихаешь.