#cors

krzykrzy1995

22.04.2024, 15:59:49

0

#cors #programowanie #javascript
W sumie tak sie zastanawiam, ze sam mechanizm CORS bardzo latwo obejsc przez proxy server, wiec de facto przed czym nas chroni? Czy czegos nie rozumiem ( pewnie tak jest ( ͡° ͜ʖ ͡°) )

lobo

22.04.2024, 16:23:00 via Wykop

0

@krzykrzy1995: A jest jeszcze jedna rzecz, wyobraź sobie, że masz stronę jak wykop gdzie ludzie mogą komentować i przez błąd wstawiać obrazki, cors może być tak ustawiony żeby blokować ładowanie tych obrazków z niedobrych domen

krzykrzy1995

22.04.2024, 16:23:43 via Wykop

0

@lobo: od tego nie jest CSP?

zwei

15.12.2022, 07:47:29

0

#javascript #cors #http #programowanie

Jak robię GET fetchem, to jak wiadomo przeglądarka robi preflight request uderzając na OPTIONS. Czy jest jakiś sposób na przechwycenie danych z tej odpowiedzi z OPTIONS bez robienia osobnego bezpośredniego requesta?

zwei

15.12.2022, 08:09:44

4

@becvvv: ok, no to nie o to mi chodzi, ale dzięki za pomoc.

ChatGPT mi mówi, że się nie da i trzeba robić osobny request xd ale nie ufam #!$%@?, bo to tylko maszyna.

zackson

15.12.2022, 11:52:22

3

@zwei: nie możesz "by design". Przeglądarka wysyła ten request poza środowiskiem do którego masz dostęp

infamia

24.01.2022, 01:16:03

0

Jeśli na stronie np. example.com jest błąd w konfiguracji CORS i odpytując ją z nagłówkiem

Orgin: [https://evilwww.example.com](https://evilwww.example.com)
zwraca

Access-Control-Allow-Origin: [https://evilwww.example.com](https://evilwww.example.com)

oraz
Access-Control-Allow-Credentials: true
To jakie są konsekwencje takiej konfiguracji ? Czy to jest jakiś poważny błąd ?

#security #cors #pytanie #bezpieczenstwo #it

t.....n

konto usunięte 24.01.2022, 01:17:22

1

@infamia: na poziomie żłobka

t.....n

konto usunięte 24.01.2022, 01:28:52

0

Komentarz usunięty przez autora

brightit

25.02.2021, 11:18:47

0

jak w prosty sposób rozwiązać problem #cors (cros origin resource sharing) przy testowaniu aplikacji webowych

#linux

google-chrome --disable-security --user-data-dir="/tmp/chrome"
#windows

chrome.exe --disable-web-security --user-data-dir="C:/temp_dir"
jak Wy to ogarniacie?

#webdev #programowanie #javascript #node

isamaul

25.02.2021, 11:29:18

8

@brightit: piszę aplikację tak aby wysyłała poprawne odpowiedzi z nagłówkiem allow-origin ( ͡° ͜ʖ ͡°)

brightit

25.02.2021, 11:52:49

2

@fervi: @Init0: @Hav0c: no kaman - niech pierwszy rzuci kamieniem kto kiedyś nie stracił na tym kilku cennych godzin z życia :)

MrFisherman

16.07.2020, 19:50:27 via Wykop Mobilny (Android)

0

Ale mnie za każdym razem ten Cors #!$%@? denerwuje xD jak go mam to nie działa (nawet jak ma zezwolone wszystko) i jeszcze wywołuje Infinite Loop na enpoincie "/login" (i się OAuth2 wyjebuje). Jak go nie mam to też nie działa i się nie chce front z backiem połaczyć, no ręce opadają xD #spring #cors

JSkrzetuski

16.07.2020, 20:23:50

0

@MrFisherman:
Ja na /login daje takiego beana a do reszty nad controllerem daje @CrossOrigin("*") i śmiga se front z backendem

MrFisherman

16.07.2020, 21:40:10 via Wykop Mobilny (Android)

0

@JSkrzetuski: sprawdze jutro i dam znać, dzięki

Gumaa

23.04.2019, 20:09:40

3

Jest na sali jakiś specjalista, który jest wstanie wytłumaczyć jak ten cały CORS w przeglądarce przed czymkolwiek chroni?

Albo link do jakichś filmików/artykułów? Wszystko co znalazłem to takie podstawowe tłumaczenie jak jest ten error, to dodaj ten nagłówek itp. Ale nie znalazłem uzasadnienia tego z punktu widzenia bezpieczeństwa.

#pytanie #pytaniedoeksperta #cors #javascript #webdev

Gumaa

23.04.2019, 22:29:21 via Wykop Mobilny (Android)

1

@chester: dziękuję. Ale chodzi o to że ja już te podstawy znam, szukalem jakiegoś głębszego wytlumaczenia.

chester

23.04.2019, 22:31:05

2

@Gumaa:

Ale ja już podstawy "jak działa samochód" znam, szukam jakiegoś głębszego wyjaśnienia.

Matko... Chcesz odpowiedzi? Zadaj pytanie!

Zapytasz "jak działa" - odpowiadam: blokuje.

jamslodki

15.02.2019, 13:05:53

8

Widzę że nawet najlepszym się zdarza paść na corsach XDD #epit #webdev #januszewebdevu #cors

jamslodki - Widzę że nawet najlepszym się zdarza paść na corsach XDD #epit #webdev #j... — **źródło:** comment_LXqZn2Hbv39VPFU1KcDvtP2yl3jN2Pnz.jpg
Pobierz

kszych

15.02.2019, 13:14:36

4

@jamslodki: zgłoś im jire ( ͡° ͜ʖ ͡°) a sorry, oni pewnie trackują błędy w excelu

look997

09.02.2015, 21:22:51

4

Jakie są standardy(jakkolwiek to rozumieć) debugowania w JS?
Chodzi mi o na przykład console.log zamknięte w funkcji log(). Po prostu krótszej nazwie.
Problem jest taki, że wtedy zamiast miejsca wywołania funkcji log() pokazana jest miejsce definicji tej funkcji.
Jak to zmienić?

Widzę, że istnieje taka biblioteka: http://easyxdm.net/wp/2010/03/17/adding-easyxdm-to-your-project-including-debugging-tools/
I ona ma dodatkowy plik do debugowania. Jeszcze tego nie użyłem, ale domyślam się że tam są rozwiązane problemy między innymi jak te z krótką

P0lip

09.02.2015, 21:35:35

1

@look997
var log = console.log.bind(console);

npsr

09.02.2015, 21:43:48

0

@look997: pomijając wszystko to tak właściwie po co Ci to?
W normalnych logach piszesz która metoda w jakim przypadku wywołała błąd ...
try {} catch(err) { log.error('Nazwa metody: ajax się #!$%@?ł') log.msg(err)};

I już wiesz, gdzie to jest a jak nie pamiętasz to jaki problem wyszukać po stringu błędu?:P A potem sobie precyzujesz już console logami, które potem usuwasz... Przynajmniej ja tak robię i żadnych problemów nie miałem jeszcze.

Łap przykładowo