ИА
2. Формирую хмл, со всеми параметрами, дата, название и прочее
Size: a a a
2020 August 24
ИА
3. вызываю функцию signXml
ИА
из библиотеки, которую они скинули. Тут нсалайер делает чтото, в этом не разобрался
VK
Ильяс Ахметов
3. вызываю функцию signXml
в js вызываешь signXml?
ИА
если удачно, то сохраняю этот хмл в базу и меняю статус документа на "подпсаино"
ИА
в js вызываешь signXml?
да
AD
То есть на бэке валидацию не делаешь?
U
То есть на бэке валидацию не делаешь?
ИА
То есть на бэке валидацию не делаешь?
проверку валидности эцп?
U
Не забудь сущности вырубить в бэкенде, прочитай про XXE injection
ИА
не делаю
ИА
Не забудь сущности вырубить в бэкенде, прочитай про XXE injection
ок
AD
Ильяс Ахметов
проверку валидности эцп?
В принципе проверку подписи
ИА
В принципе проверку подписи
это все делает функция signXml, я так понимаю
U
Ильяс Ахметов
не делаю
В работе с документами, да и вообще, доверие пользователю должно быть нулевым!
AD
Ильяс Ахметов
это все делает функция signXml, я так понимаю
ну она на фронте. А фронту доверять нельзя
VK
Ильяс Ахметов
это все делает функция signXml, я так понимаю
нет, она только подписывает XML ключом
VK
а проверять даты и отозванность надо на бэке
ИА
откуда вы все это знает? где получить документацию?
ИА
я все интуитивно делаю