DK
Мы имеем право априори полагать, что на сайте не внедрено "подсматривающих" скриптов?
Size: a a a
2020 May 31
DK
Тогда почему считается небезопасным встраивать токен в drupalSettings?
DK
я вижу в этом некое противоречие
ИЛ
не знаю, кем это считается
ИЛ
такая же херня, как в хидден поля или в датааттрибуты класть
DK
"кем" - ссылку я давал выше. Там знакомые ники с drupal.org
DK
если drupalSettings будет доступен для cross-origin скриптов (т. е. мы должны защищать от этого), то и переменная в моем скрипте (а он её неизбежно будет хранить, пока его не вызовут) может быть прочитана
RR
И нытиков
Точно
ИЛ
Dmitriy K.
"кем" - ссылку я давал выше. Там знакомые ники с drupal.org
один вопрос на 4 и один ответ на 1
я с такого вывод должен делать, что боятся?
я с такого вывод должен делать, что боятся?
DK
А с другой стороны, может быть эти люди что-то знают, что не знаем мы? Конечно, можно сказать, что мы тут самые умные, и всё будет ок, я тыщу раз так делал.
Но разработчики ядра Drupal не внесли этот токен в drupalSettings, и подтвердили, что это несекюрно. Для меня это как минимум повод разобраться.
Но разработчики ядра Drupal не внесли этот токен в drupalSettings, и подтвердили, что это несекюрно. Для меня это как минимум повод разобраться.
ИЛ
потому что он в каждой форме он хреначится отдельный
а из сеттингсов его доставать надо яваскриптом
а из сеттингсов его доставать надо яваскриптом
ИЛ
мегаавторитетным считается мнение этого https://www.drupal.org/u/cburschka гая?
DK
Это вот такой уровень дискуссии оценивать авторитетность по фотографиям?
kiamlaluno для вас достаточно авторитетен? Да, это не его ответ, но он отредактировал вопрос, вероятно считая его нужным, и ответ не опровергал.
kiamlaluno для вас достаточно авторитетен? Да, это не его ответ, но он отредактировал вопрос, вероятно считая его нужным, и ответ не опровергал.
DK
И напоминаю, разработчики Друпала НЕ внесли токен в drupalSettings, хотя это как бы напрашивается. Ради чего напрягать разработчиков делать запрос?
ИЛ
уважаемый, я своих пацанов с района могу позвать
давай аргумент или не пиши уже ничего
давай аргумент или не пиши уже ничего
DK
Dmitriy K.
И напоминаю, разработчики Друпала НЕ внесли токен в drupalSettings, хотя это как бы напрашивается. Ради чего напрягать разработчиков делать запрос?
это не аргумент?
ИЛ
общий токен в друпалсеттингс хужей отдельных токенов интегрированных прямо в элемент
ИЛ
но подрезать можно любой токен, что в элементе, что в сеттингсах
ИЛ
общий токен подрезать - это общая жопа
ИЛ
токен конкретного запроса подрезать - это только один токен одного запроса