GS
любой xss с бэка
или из браузерного расширения левого. Или из npm пакета.
Size: a a a
2020 August 18
s
если нада то достучатся и до твоей двери.
s
так что ... ))
D
GS
так что ... ))
Так что нет смысла обсуждать безопасность, открывает двери, ставим qwerty на пароли и тд?)
Зачем утрировать?
Зачем утрировать?
GS
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc хорошее объяснение..
Только там нет кейса с SSR
s
Так что нет смысла обсуждать безопасность, открывает двери, ставим qwerty на пароли и тд?)
Зачем утрировать?
Зачем утрировать?
постоянно обсуждают одно и тоже , куки и стор.
оба нихнена не безопасны, вот к чему я клоню
оба нихнена не безопасны, вот к чему я клоню
РМ
Он делает запрос или открывает страницу?
Если открывает страницу, то SSR имея рефреш запрашивает аксесс, затем с аксессом получает контент и возвращает контент + новый рефреш
Если открывает страницу, то SSR имея рефреш запрашивает аксесс, затем с аксессом получает контент и возвращает контент + новый рефреш
ну вот запрос к /protected-content из строки браузера
получается нужен редирект или доплнять запрос
получается нужен редирект или доплнять запрос
GS
постоянно обсуждают одно и тоже , куки и стор.
оба нихнена не безопасны, вот к чему я клоню
оба нихнена не безопасны, вот к чему я клоню
В этом чате редко обсуждают.
И "нихрена" - это не очень точное описание уровня безопасности.
Потому что разные решения имеют разные проблемы, и есть устоявшиеся бестпрактики, как в том или ином подходе делать достаточно безопасно, и решать основные проблемы
И "нихрена" - это не очень точное описание уровня безопасности.
Потому что разные решения имеют разные проблемы, и есть устоявшиеся бестпрактики, как в том или ином подходе делать достаточно безопасно, и решать основные проблемы
GS
ну вот запрос к /protected-content из строки браузера
получается нужен редирект или доплнять запрос
получается нужен редирект или доплнять запрос
РМ
я понимаю и даже в этой статье описана проблема, которую я описал
у клиента нет access_token по этой схеме
у клиента нет access_token по этой схеме
GS
я понимаю и даже в этой статье описана проблема, которую я описал
у клиента нет access_token по этой схеме
у клиента нет access_token по этой схеме
Клиент его запросит при инициализации страницы
РМ
Клиент его запросит при инициализации страницы
контекст статьи и этой схемы - запрос SSR
РМ
контекст статьи и этой схемы - запрос SSR
т.е. только делать 2 запроса - это и есть проблема, о которой я говорил
GS
контекст статьи и этой схемы - запрос SSR
Ещё раз, какую проблему ты не знаешь, как решить?
РМ
Ещё раз, какую проблему ты не знаешь, как решить?
пользователь имеет в своих куках только рефреш токен
закрывает страницу
отрываем страницу и делаем запрос (из адресной строки) к /protected-content
по схеме возвразается контент и новый рефреш в куках
но у клиента как не было, так и нет access_token.
тут нужен второй запрос или что-то еще, это и есть проблема
закрывает страницу
отрываем страницу и делаем запрос (из адресной строки) к /protected-content
по схеме возвразается контент и новый рефреш в куках
но у клиента как не было, так и нет access_token.
тут нужен второй запрос или что-то еще, это и есть проблема
GS
контекст статьи и этой схемы - запрос SSR
1. Запрашивает новую страницу (SSR) (в запросе будет рефреш)
2. На сервере получаем аксесс+рефреш2, используя рефреш
3. Получаем данные
4. Рендерим контент
5. Отправили клиенту контент + рефреш2
6. Клиент запрашивает аксесс+рефреш3, испоользуя рефреш2
7. Клиент дальше работает с аксессом как SPA
2. На сервере получаем аксесс+рефреш2, используя рефреш
3. Получаем данные
4. Рендерим контент
5. Отправили клиенту контент + рефреш2
6. Клиент запрашивает аксесс+рефреш3, испоользуя рефреш2
7. Клиент дальше работает с аксессом как SPA
GS
пользователь имеет в своих куках только рефреш токен
закрывает страницу
отрываем страницу и делаем запрос (из адресной строки) к /protected-content
по схеме возвразается контент и новый рефреш в куках
но у клиента как не было, так и нет access_token.
тут нужен второй запрос или что-то еще, это и есть проблема
закрывает страницу
отрываем страницу и делаем запрос (из адресной строки) к /protected-content
по схеме возвразается контент и новый рефреш в куках
но у клиента как не было, так и нет access_token.
тут нужен второй запрос или что-то еще, это и есть проблема
Да, нужен второй запрос
GS
Но почему это проблема?
GS
Классика SPA при инициализации запрашивать current user