DK
про общие токены и токены для конкретных запросов соглашусь. Но ведь безопасность всё же качественная, а не количественная штука. Дырка побольше или дырка поменьше - так себе альтернатива, если можно сделать всё полностью правильно.
Size: a a a
2020 May 31
ИЛ
нельзя подрезать токен, который динамически запрашивается
C
Токены в формах запрещают сабмитить формы от имени других пользователей, это классическая защита от csrf, большего от них и не требуется. Если у тебя уже есть вредоносный js скрипт на сайте, то тебе уже ничего не поможет.
DK
зависит от позиции атакующего:
- если его вредоносный скрипт встроен в страницу сайта/админки (XSS), то он и /session/token так же запросит
- запросы с внешних форм проверяются по referer/origin
- если его вредоносный скрипт встроен в страницу сайта/админки (XSS), то он и /session/token так же запросит
- запросы с внешних форм проверяются по referer/origin
C
повторю - от встроенного вредоносного скрипта никакая реализация не поможет. По referer фильтровать небезопасно, это настолько старо, что я уже и не помню почему
DK
Подозреваю, что дело в каких-нибудь старых броузерах, возможно сейчас уже всё ок.
Тем не менее в таком случае, логично встроить токен в drupalSettings, и не морочить голову с запросами к /session/token?
Тем не менее в таком случае, логично встроить токен в drupalSettings, и не морочить голову с запросами к /session/token?
DK
Вот встрою я токен в свой скрипт:
window.myApi = new MyAPI('token');
чем это будет отличаться?
window.myApi = new MyAPI('token');
чем это будет отличаться?
C
а что делает запросы к /session/token? json api? я просто не в курсе
DK
в данном примере я просто сгенерю HTML с таким JS из PHP
DK
можно также заставить MyAPI динамически делать запрос
C
Цель то у тебя какая?
C
Зачем тебе токены?
DK
секюрность, наверное
DK
своё API на сервере как часть модуля
C
Dmitriy K.
Вот встрою я токен в свой скрипт:
window.myApi = new MyAPI('token');
чем это будет отличаться?
window.myApi = new MyAPI('token');
чем это будет отличаться?
подозреваю, что с помощью
/session/token можно организовать временные токены, с window.myApi = new MyAPI('token'); у тебя это не получитсяDK
Я проверял - /session/token выдает всегда один и тот же токен. Код, правда, не смотрел, но за сутки токен не сменился.
ИЛ
Dmitriy K.
Подозреваю, что дело в каких-нибудь старых броузерах, возможно сейчас уже всё ок.
Тем не менее в таком случае, логично встроить токен в drupalSettings, и не морочить голову с запросами к /session/token?
Тем не менее в таком случае, логично встроить токен в drupalSettings, и не морочить голову с запросами к /session/token?
если у тебя 100 элементов на странице, сколько ты токенов будешь встраивать в сеттингс?
C
я к тому, что callback всегда можно подменить и написать свою реализацию
AP
В страницу нельзя такое писать ещё и по причине Кеша, причем на разных уровнях, не нужно раскладывать в кеш админский токен
DK
Иван, 1 токен. Почему их должно быть много?