ЭК
Size: a a a
2020 June 17
᠌
Смотри, у сайта плохая конфигурация origin, но при этом он не выдаёт Access-Control-Allow-Credentials: true. Возможно ли что-то сделать без этого?
Тогда незнаю, но все равно потыкай статьи
A
Ты csrf хочешь, или что? Мало подробностей
А при чем вообще csrf к cors?
im
Ну, я однажды провёл csrf по причине кривого cors
ЭК
cors не защищает от csrf
A
Ксрф это про отправить запрос, корс про прочитать, совсем разные вещи.
ЭК
im
Да? Sop тебя заблокирует, если будет эллоу ориджин и креденшелс тру
im
Ксрф это про отправить запрос, корс про прочитать, совсем разные вещи.
Мне надо было отправить
A
Да? Sop тебя заблокирует, если будет эллоу ориджин и креденшелс тру
Ну может быть, особо не ресерчил, могу путать что-нибудь
ЭК
Ну cors используется чтобы читать данные до которых просто так не доберешься
I
Да? Sop тебя заблокирует, если будет эллоу ориджин и креденшелс тру
wut?
I
CORS для того и сделан, чтобы общаться между разными оринджинами
im
ага, только если там будет в access-allow-origin не то место, откуда шел запрос, то особо не пообщаешься
I
а это ты не уточнял
im
и? вот уточнил же
im
Ну cors используется чтобы читать данные до которых просто так не доберешься
ага. а некоторые еще и апи через cors делают. и тогда не только получть данные можно, но еще и отправлять
k
Ксрф это про отправить запрос, корс про прочитать, совсем разные вещи.
Скорее всего, он имел ввиду кейс, когда через плохо сконфиженный корс можно прочитать цсрф токен, а там уже и сделать цсрф, так как теперь цсрф токен известен
ЭК
Кто нибудь ставлкивался с SoQL?
im
Скорее всего, он имел ввиду кейс, когда через плохо сконфиженный корс можно прочитать цсрф токен, а там уже и сделать цсрф, так как теперь цсрф токен известен
Через корс был реализован доступ к апи. И посты туда тоже отправлялись. Поэтому и цсрф