или ссылку

типа так заехало, но можно и более изящно средствами тс. где-то находил, но не всмпомню уже:

if (typeof questionOption === 'object') {
await session.update(id, { curTestContext: questionOption.nextContext })
}

function isQuestionOption(who: QuestionOption|boolean): who is QuestionOption { return typeof who === 'object' }

Мне ютуб Минина предлагает смотреть постоянно, когда смотрю Климова.

Достойная внимания. Не "ааа жопа фиксить сегодня", но "секьюрити аудит по шапке надает если заметит".
Почему проблема? Доступен из js.
- Сильно повышает потенциальную стоимость xss. А xss той или иной степени навороченности есть мне кажется в любом зрелом приложении.
- Даже если у вас в приложении и нет xss, а 3rd party скрипты Вы тщательно проверяете, то юзер сам себя может попячить через браузерное расширение.

если я правильно помню текущие практики (могу врать, я ж фронтэнд макака), то феншуй сейчас - кука httpOnly secure SameSite=Strict.
для более полной информации гуглить "owasp cheat sheet"

хоть и пишу на реакте но благодаря Минину понимаю вьюшный код и могу поддерживать проэкты

Я думал обычно все хранят в локалсторадже

локалсторадж имеет ту же проблему

cдерживаюсь чтобы не начать спамить стикерами D

Вообще у нас эта логинка должна действовать на разных продуктах, которые на разных субдоменах. SameSite=strict будет проблемой?

да. Тогда нужен SameSite=none

задача SameSite - это дополнительная защита от xrf

Короч почитайте лучше овасп, а то я ща как напою вам

А есть похожий стикерпак с Данечкой?

Я к сожалению не нашел(

но в этом стикерпаке он тоже есть

Ребята здарова всем, если те кто нормально шарит в реакте есть 1 вопрос буквально на пару секунд