im
Ещё и корс был криво реализован
Size: a a a
2020 June 17
A
Через корс был реализован доступ к апи. И посты туда тоже отправлялись. Поэтому и цсрф
Ну csrf обычно эксплоитят через формы, а не через xhr
im
Ну, у меня статистика только по себе
im
В целом согласен, обычно другие ситуации описывают, когда про цсрф рассказывают
VS
Ну csrf обычно эксплоитят через формы, а не через xhr
Через xhr тоже 🙃
I
нет, через картинки !
BF
С цтф Нет
2020 June 18
L
ребят, а то, что на вэбсокеты кросс-домаин выдаёт это норм?
自
ребят, а то, что на вэбсокеты кросс-домаин выдаёт это норм?
Вообще нет, сейм ориджин должен быть
B
Вообще пох, веб-сокеры игнорируют
I
ну вот, мнения экспертов вебпвн чата разделились
B
CORS, XFO, CSP на подключение веб-сокета не влияет, источник подключения дожен проверяться отдельно, csrf токеном или други секретом, заголовком origin
I
自
Я говорил про заголовок origin, бум тоже про него написал, больше особо добавить и ничего
自
Или бум хотел написать «а не заголовком ориджин»
B
А заголовок ориджин тоже может не проверяться
B
Обычно это допиливают отдельно
A
А заголовок ориджин тоже может не проверяться
а так чаще и бывает
A
а еще бывает, что сессия сдохла куки протухли
а сокеты живы 🙂
а сокеты живы 🙂
自
Обычно это допиливают отдельно
Ну окей, я думал так везде