Aktywne Wpisy
yawa +168
10 lat ciułania po troszku ale udało się 20 lat przed terminem :)
Pijcie ze mnom kompot.
#nieruchomosci
Pijcie ze mnom kompot.
#nieruchomosci
źródło: bn
Pobierz
sonklabart +10
#zwiazki #randkujzwykopem
Poznałam ostatnio faceta i trochę piszemy. Z ciekawości sprawdziłam kogo obserwuje na instagramie i przeszły mnie ciarki żenady xd Nawet nie wiem jak to opisać, bo to nawet nie są dziewczyny z bieliźnie tylko w jakiś skąpych ubraniach gdzie na większości zdjęć na głównym planie jest ich krocze. No i ogólnie wrzucają kontent w stylu "słodka idiotka". Ja wiem, że są różne upodobania ale później faceci
Poznałam ostatnio faceta i trochę piszemy. Z ciekawości sprawdziłam kogo obserwuje na instagramie i przeszły mnie ciarki żenady xd Nawet nie wiem jak to opisać, bo to nawet nie są dziewczyny z bieliźnie tylko w jakiś skąpych ubraniach gdzie na większości zdjęć na głównym planie jest ich krocze. No i ogólnie wrzucają kontent w stylu "słodka idiotka". Ja wiem, że są różne upodobania ale później faceci
czy zabezpieczenie przed csrf przez token ma sens jeżeli nie zabezpieczamy się przed xss?
Dobrze myślę, ze jeżeli mogę odczytać cookies to mogę też chyba odczytać wartość pola .*token?
Kilka podstawowych zasad:
- Ciastka sesyjne powinny miec flagi HTTP-ONLY i SECURE; Nawet z XSSem nikt nieprzejmie sesji itp.
- XSS: Eskejpujemy wszystko co drukujemy dynamicznie z kodu aplikacji, bez wyjatku, najlepiej stosowac jakies wbudowane klasy frameworka w stylu Html::encode(zmienna) i tylko tak drukowac dane, bez tego latwo wpasc w pulapke. Warto tez pamietac zeby zajac sie JSONem i uwazac z jQuery gdy stosuje sie $.html("dane z JSONa"), bo jezeli dane z JSONa beda zawieraly XSSa to ten kod sie wykona;
- CSRF: wszystkie istotne operacje w aplikacji np. zmiana hasla, usuniecie czegos, zapis nowych danych zawsze powinny isc przez POST z dolaczonym tokenem.