АК
потеря аксес токена некритична т.к он 1-15 минут, а рефреш токен спокойно по кукам гоняет и фронт даже про него не знает и все довольны
Size: a a a
2021 June 18
АК
почти сессии)
АК
тема то действительно изибитая)))
K
Как сделают xss с нормальными csp полиси?
K
Ага, сфероконинными кейсами сделанными индусами
АК
я скинул ссылку, где есть кейс, пусть и не самый казалось бы простой
АК
если коротко, то в приложении у вас куча сторонних зависимостей и если хоть одна из них подверглась атаке - ваш токен улетит
K
На самом деле проблема заключается в межсайтовом скриптинге (XSS).
Дальше не читалАК
ну и зря.
K
Ну и зрякаем не читаем что такое csp
АК
можно оба, но jwt просто помимо самого "ключа" несет в себе пейлоад, который на фронте можно юзать (всякие id чп и тд как уже написали)
K
XSS можно провернуть на приложениях сделаных джунами или разрабами которым просто было лень читать документацию
АК
если перенести это в куки , то просто юзайте сессии не забейте на jwt т.к по сути стало одно и то же.
АК
смотри, у тебя есть условная джекьюри, её ломанули, а ты вызываешь метод из неё ajax наример, а в него добавили что берется твой локалсторейдж и дополнительно улетает куда-то. я не хакер и хз точно как это делается, но суть примерна такая думаю
АК
и csp тут не поможет т.к это из другой песни
АК
и вообще сорри за оффтоп.
K
А потом мы передали косяк сферическому коню в вакууме который витал рядом
АК
свежий пример с топовыми компаниями.
https://habr.com/ru/company/skillfactory/blog/550380/
https://habr.com/ru/company/skillfactory/blog/550380/