Aktywne Wpisy
![mirko_anonim](https://wykop.pl/cdn/c0834752/321ea7dc2985c2bfbf21a6b5598af7c3220625c6954fbbc0a440b525befed626,q60.png)
mirko_anonim +65
✨️ Obserwuj #mirkoanonim
Chłop pracuje fizycznie, ale dostał propozycję awansu. Przejście z "fizycznego" na "umysłowego" (stanowisko kierownicze). Były pewne wymagania i warunki, które chłop spełnił po krótkim przyuczeniu.
Niestety w trakcie wprowadzania na nowe stanowisko zaczęło się pojawiać coraz więcej nowych problemów i spraw, z którymi chłop w ogóle by nie chciał mieć do czynienia. Na zasadzie "żaden awans i żadna podwyżka nie przekona mnie do tego, żeby na co dzień zajmować
Chłop pracuje fizycznie, ale dostał propozycję awansu. Przejście z "fizycznego" na "umysłowego" (stanowisko kierownicze). Były pewne wymagania i warunki, które chłop spełnił po krótkim przyuczeniu.
Niestety w trakcie wprowadzania na nowe stanowisko zaczęło się pojawiać coraz więcej nowych problemów i spraw, z którymi chłop w ogóle by nie chciał mieć do czynienia. Na zasadzie "żaden awans i żadna podwyżka nie przekona mnie do tego, żeby na co dzień zajmować
![7ujMejster](https://wykop.pl/cdn/c3397992/7ujMejster_RjjpdBOhIv,q60.jpg)
7ujMejster +250
localStorage - jak będzie atak XSS, to atakujący wykradnie token lub wykona CSRF
ciastka HTTP only - możliwy do wykonania atak CSRF (bo kto stosuje tokeny anty-CSRF w REST API?)
W przypadku aplikacji mobilnych ciastka odpadają (chyba że to PWA).
Obie metody można zabezpieczyć, np. nie trzymać tokenu w localStorage, ale w zmiennej lokalnej, ale sesja się skończy po odświeżeniu strony i trzeba się ponownie logować. W przypadku ciasteczek można sprawdzać Referrer, ale to jest zawodny sposób, bo przeglądarka tego nagłówka wcale nie musi wysyłać. Jakieś inne pomysły? #jwt #javascript #angular #programista15k