DH
всем привет, подскажите какой толковый плагин для маски инпута, мобильный номер форматировать?
Size: a a a
2020 September 15
GS
оберну фетч и отправлю себе на сайт
Ок, лучше будет, если вообще вынести всё в какой-нибудь воркер.
Использование замыкания лишь делает токен менее доступным
Использование замыкания лишь делает токен менее доступным
К
Ок, лучше будет, если вообще вынести всё в какой-нибудь воркер.
Использование замыкания лишь делает токен менее доступным
Использование замыкания лишь делает токен менее доступным
Что мешает в случае xss создать воркер, который будет перехватывать все запросы? А в запросах лежит твой токен. Просто как идея
К
Воркеры можно регистрировать и создавать на лету)
К
В любом случае ты его куда-то отправишь, что перехватит хакерский воркер
GS
Что мешает в случае xss создать воркер, который будет перехватывать все запросы? А в запросах лежит твой токен. Просто как идея
Если честно, я не знаю, в каком порядке будут работать сервис воркеры, если их несколько)
К
Если честно, я не знаю, в каком порядке будут работать сервис воркеры, если их несколько)
Просто я для себя решил, что удобство нескольких открытых вкладок и возможность не терять логин в течение действия токена важнее)
К
У нас ваще 2FA через Google authenticator, так что если в замыкании хранить, то это каждый раз логиниться + потом код этот с телефона смотреть
GS
Просто я для себя решил, что удобство нескольких открытых вкладок и возможность не терять логин в течение действия токена важнее)
Так он не теряется при нескольких вкладках, отличие только в ожидании на 1 запрос при первом открытии
GS
Логиниться придётся, если рефреш потеряется
К
Так он не теряется при нескольких вкладках, отличие только в ожидании на 1 запрос при первом открытии
Ну я про сценарий, когда у тебя форма логина, ты отправляешь креды, получаешь уникальный токен на час. Открываешь эту же страницу в новой вкладке. Тебе снова надо логиниться, и тогда дадут новый токен. Старый перестанет действовать. Без рефрештокена
GS
Ну я про сценарий, когда у тебя форма логина, ты отправляешь креды, получаешь уникальный токен на час. Открываешь эту же страницу в новой вкладке. Тебе снова надо логиниться, и тогда дадут новый токен. Старый перестанет действовать. Без рефрештокена
А мы про вариант с jwt + refresh)
РМ
Что мешает в случае xss создать воркер, который будет перехватывать все запросы? А в запросах лежит твой токен. Просто как идея
а как именно?
К
а как именно?
Надо попробовать)
РМ
Надо попробовать)
принцип то какой? событие fetch?
К
принцип то какой? событие fetch?
Да
РМ
даже если выйдет, то там же тонна возможностей отследить установку воркера, по-любому можно будет понять, что кто-то инжектится
К
даже если выйдет, то там же тонна возможностей отследить установку воркера, по-любому можно будет понять, что кто-то инжектится
Я согласен. Но это начинается борьба бобра с ослом. Проблема не в том, где токен хранится. А в том, что вообще произошла XSS атака
РМ
Я согласен. Но это начинается борьба бобра с ослом. Проблема не в том, где токен хранится. А в том, что вообще произошла XSS атака
почему? Вот если токен хранится в LS, то как будем бороться с ослом?