Блин. ладно иначе. где я в принципе ошибаюсь? заголовки диктуют

что клиент может скачать напрямую в обход сервера.

Да не, я сам разобраться пытаюсь, а не критикую. Наоборот тебе спасибо что отвечаешь на вопросы.

да это блин факт) я уже сомневаться начинаю раз столько вопросов) тут обычно умные) а nginx тоже прогрессирует по set headers)

Ну вот я тупой, щито поделать. Разобраться пытаюсь, т.к. работа с корсом заканчивается добавлением источников в вайтлист на сервере, и то не для какой-то безопасности, а чтобы фронт мог делать запросы не ловя ошибку корса.

отсюда и ошибка. когда загружается со стороны

Так тут твоё определение функций корса как раз не подходит. Это клиент не может получить доступ к серверу, а в твоём определении суть именно в том, чтобы клиент доверял только одному серверу.

серверу и доверяет. а сервер говорит кому ещё доверять. и для каких типов файлов и т. п.

Хм, а как можно смоделировать ситуацию в которой корс защитит клиент от неверных данных?

в результате никак. ибо сервер может дать айпи либо URL куда можно. а клиент сам резолвит эти url

Т.е. мы никак не можем повторить уязвимость, от которой защищает корс?

обычно у клиента нормальный днс) и обычно cors помогает)

Ну то есть получается, что корс и не нужен и работает на уровне валидации на фронте? В духе "часть случаев срезает, но обойти не сложно?"

большинство. т. е. если в код на сервере (файлах) вмешаются и пошлют налево, то сам сервер не пропустит ибо по заголовкам не положено ходить туда

А, т.е. это защищает от подмены именно серверного кода? Типа уязвимости с Npm пакетами?

нпм пакеты тебя пошлют редиректом на зеркало. от этого не поможет. поможет если в страницу внедрить чужой код

Ну так опять приходим к вопросу как смоделировать ситуацию. Что мне делать с внедрённым кодом, чтобы без корса запрос уходил на другой сервер, а включив корс уязвимость исчезла?

включить корс это что? по твоему

На бэке определить корс заголовок отличные от Access-Control-Allow-Origin: *, по идее.

АКМ поможет. В твоём случае можно с сапернрй лопаткой выбегать. А лучше с отвёрткой. Один хер чем врага крошить, даже если инструмент не предназначен для этого 😳🙈🙈 (неумелая шутка.., но увы)

а в чем проблема? добавить в корсы разрешение грузить шрифты или что там ещё по нужным протоколам)

Да он троллит же. Чего ты?

Нет в спеке корс такого

а... я редко в чатах. карты заебали)

зашибись. т. е. когда я добавляю в заголовки csp что можно, куда можно и как можно, т. е. это не корс... ну ок. хрен с ним. я не прав)

Ну прочитал бы сначала... https://stackoverflow.com/questions/39488241/what-is-the-difference-between-cors-and-csps

ок курю разницу

Ну дык почитал бы сначала, зачем меня сразу в троли то... Вот мне заняться нечем...

да ну нафиг. csp тоже самое. корс оно же. разница в чем? корс более обобщенное на словах, но суть в разрешениях на уровне заголовков. ну ок маски поуже у cors

Давай так. Ты молодец, что прочитал! Я без сарказма. Но все же когда есть тонкости в деталях, то на детялях уже и говорят. Есть стандарты, есть спецификации. Есть ES5, есть ES6. В принципе один хер... Конкретнее для тебя пример ... Есть тайлы Гугла, а есть Яндекса. Таййлы и иайлы..., только в разных системах координат..., меркаторы разные..., их хер ты их налрдишь без искажения

так это на входе и делается. на этапе до прокси. если я правильно понял задачу. т. е. сервак разруливает куда и что.

Окей. Ладно закрыли вопрос. Ты все верно понимаешь. У меня то изначально была всего лишь одна реплика, что мне сейчас, если я собеселуб, более важно понять общую эрудицию кандидата (пусть на уровне-да есть какой то корс, еспи итд, это обмен заголовками, да есть авторизация куками, баером итд), И пусть кандидат верит что джиэс многопоточный, пусть верит что у стрелки нет контекста итд... Мне важна общая эрудицию от БД, рест... Остальное дело уровня кухневарки

ок. сорян за такую долгую напечатку) я тоже парюсь чтоб меня хоть как-то понимали.) а есть вакансии?) я бомж

Ты в ЛС уже написал насчёт карт. Напиши отдельно по скилзам (если фул, то это ваще огонь), но обязательно тегани по обоим вопросам после 11.01.2022

ок. я тут уже вк игрушки пишу от отчаянья ибо хз где что искать) пингану

Странно ваще. Выше кто то писал... Разрабы не могут найти работу, а барины 😂 работников... Че не так с этим гребанный рынком ИТ🙈

я аноним. глубоко глубоко аноним. доки, опыт и прочее)

!dwarn мат

Пользователь Sergey имеет 2/3 предупреждений; будьте осторожны! Причина: мат

А ты че прям такой стукачек то? Русский мат, правильно применённый вообще никак?

Нормы поведения: https://cutt.ly/QFPWXA

Нарушение данных гребанных норм не привели ни троллингу, ни к оскарблению кого либо, ни к иным отрицательным явлениями, которые влияют на суть чата. Функционер еб...