они используют signed cookies with a secret hash to prevent manipulation
Зачем "signed"? Каких манипуляций стоит опасаться?
Ну и почему используются HttpOnly куки?
А посмотрите, пожалуйста, 👆
не совсем понял вопроса
Они подписывают сообщения, чтобы предотвратить манипуляции Хотя сообщения выглядят (по моему опыту) безобидно Почему они боятся манипуляции с сообщениями? Зачем их подписывают и на клиент передают в HttpOnly куках
httponly чтобы js не мог добраться до куки
это я понимаю, а в чем проблема? что может быть такого в сообщении, что его изменение может навредить?
это общий механизм работы с куками отдельно для messages не стали делать отдельный функционал
Обсуждают сегодня