169 похожих чатов

Блин. ладно иначе. где я в принципе ошибаюсь? заголовки диктуют

что клиент может скачать напрямую в обход сервера.

40 ответов

20 просмотров

Да не, я сам разобраться пытаюсь, а не критикую. Наоборот тебе спасибо что отвечаешь на вопросы.

Pt. Loki- Автор вопроса
Роб
Да не, я сам разобраться пытаюсь, а не критикую. Н...

да это блин факт) я уже сомневаться начинаю раз столько вопросов) тут обычно умные) а nginx тоже прогрессирует по set headers)

Pt. Loki
да это блин факт) я уже сомневаться начинаю раз ст...

Ну вот я тупой, щито поделать. Разобраться пытаюсь, т.к. работа с корсом заканчивается добавлением источников в вайтлист на сервере, и то не для какой-то безопасности, а чтобы фронт мог делать запросы не ловя ошибку корса.

Pt. Loki- Автор вопроса
Роб
Ну вот я тупой, щито поделать. Разобраться пытаюсь...

отсюда и ошибка. когда загружается со стороны

Pt. Loki
отсюда и ошибка. когда загружается со стороны

Так тут твоё определение функций корса как раз не подходит. Это клиент не может получить доступ к серверу, а в твоём определении суть именно в том, чтобы клиент доверял только одному серверу.

Pt. Loki- Автор вопроса
Роб
Так тут твоё определение функций корса как раз не ...

серверу и доверяет. а сервер говорит кому ещё доверять. и для каких типов файлов и т. п.

Pt. Loki
серверу и доверяет. а сервер говорит кому ещё дове...

Хм, а как можно смоделировать ситуацию в которой корс защитит клиент от неверных данных?

Pt. Loki- Автор вопроса
Роб
Хм, а как можно смоделировать ситуацию в которой к...

в результате никак. ибо сервер может дать айпи либо URL куда можно. а клиент сам резолвит эти url

Pt. Loki
в результате никак. ибо сервер может дать айпи либ...

Т.е. мы никак не можем повторить уязвимость, от которой защищает корс?

Pt. Loki- Автор вопроса
Роб
Т.е. мы никак не можем повторить уязвимость, от ко...

обычно у клиента нормальный днс) и обычно cors помогает)

Pt. Loki
обычно у клиента нормальный днс) и обычно cors пом...

Ну то есть получается, что корс и не нужен и работает на уровне валидации на фронте? В духе "часть случаев срезает, но обойти не сложно?"

Pt. Loki- Автор вопроса
Роб
Ну то есть получается, что корс и не нужен и работ...

большинство. т. е. если в код на сервере (файлах) вмешаются и пошлют налево, то сам сервер не пропустит ибо по заголовкам не положено ходить туда

Pt. Loki
большинство. т. е. если в код на сервере (файлах) ...

А, т.е. это защищает от подмены именно серверного кода? Типа уязвимости с Npm пакетами?

Pt. Loki- Автор вопроса
Роб
А, т.е. это защищает от подмены именно серверного ...

нпм пакеты тебя пошлют редиректом на зеркало. от этого не поможет. поможет если в страницу внедрить чужой код

Pt. Loki
нпм пакеты тебя пошлют редиректом на зеркало. от э...

Ну так опять приходим к вопросу как смоделировать ситуацию. Что мне делать с внедрённым кодом, чтобы без корса запрос уходил на другой сервер, а включив корс уязвимость исчезла?

Pt. Loki- Автор вопроса
Pt. Loki
включить корс это что? по твоему

На бэке определить корс заголовок отличные от Access-Control-Allow-Origin: *, по идее.

Роб
Ну так опять приходим к вопросу как смоделировать ...

АКМ поможет. В твоём случае можно с сапернрй лопаткой выбегать. А лучше с отвёрткой. Один хер чем врага крошить, даже если инструмент не предназначен для этого 😳🙈🙈 (неумелая шутка.., но увы)

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
АКМ поможет. В твоём случае можно с сапернрй лопат...

а в чем проблема? добавить в корсы разрешение грузить шрифты или что там ещё по нужным протоколам)

Pt. Loki- Автор вопроса
Роб
Да он троллит же. Чего ты?

а... я редко в чатах. карты заебали)

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Нет в спеке корс такого

зашибись. т. е. когда я добавляю в заголовки csp что можно, куда можно и как можно, т. е. это не корс... ну ок. хрен с ним. я не прав)

Pt. Loki
зашибись. т. е. когда я добавляю в заголовки csp ч...

Ну прочитал бы сначала... https://stackoverflow.com/questions/39488241/what-is-the-difference-between-cors-and-csps

Pt. Loki
ок курю разницу

Ну дык почитал бы сначала, зачем меня сразу в троли то... Вот мне заняться нечем...

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Ну прочитал бы сначала... https://stackoverflow.co...

да ну нафиг. csp тоже самое. корс оно же. разница в чем? корс более обобщенное на словах, но суть в разрешениях на уровне заголовков. ну ок маски поуже у cors

Pt. Loki
да ну нафиг. csp тоже самое. корс оно же. разница ...

Давай так. Ты молодец, что прочитал! Я без сарказма. Но все же когда есть тонкости в деталях, то на детялях уже и говорят. Есть стандарты, есть спецификации. Есть ES5, есть ES6. В принципе один хер... Конкретнее для тебя пример ... Есть тайлы Гугла, а есть Яндекса. Таййлы и иайлы..., только в разных системах координат..., меркаторы разные..., их хер ты их налрдишь без искажения

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Давай так. Ты молодец, что прочитал! Я без сарказм...

так это на входе и делается. на этапе до прокси. если я правильно понял задачу. т. е. сервак разруливает куда и что.

Pt. Loki
так это на входе и делается. на этапе до прокси. е...

Окей. Ладно закрыли вопрос. Ты все верно понимаешь. У меня то изначально была всего лишь одна реплика, что мне сейчас, если я собеселуб, более важно понять общую эрудицию кандидата (пусть на уровне-да есть какой то корс, еспи итд, это обмен заголовками, да есть авторизация куками, баером итд), И пусть кандидат верит что джиэс многопоточный, пусть верит что у стрелки нет контекста итд... Мне важна общая эрудицию от БД, рест... Остальное дело уровня кухневарки

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Окей. Ладно закрыли вопрос. Ты все верно понимаешь...

ок. сорян за такую долгую напечатку) я тоже парюсь чтоб меня хоть как-то понимали.) а есть вакансии?) я бомж

Pt. Loki
ок. сорян за такую долгую напечатку) я тоже парюсь...

Ты в ЛС уже написал насчёт карт. Напиши отдельно по скилзам (если фул, то это ваще огонь), но обязательно тегани по обоим вопросам после 11.01.2022

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Ты в ЛС уже написал насчёт карт. Напиши отдельно п...

ок. я тут уже вк игрушки пишу от отчаянья ибо хз где что искать) пингану

Pt. Loki
ок. я тут уже вк игрушки пишу от отчаянья ибо хз г...

Странно ваще. Выше кто то писал... Разрабы не могут найти работу, а барины 😂 работников... Че не так с этим гребанный рынком ИТ🙈

Pt. Loki- Автор вопроса
⚓️ Sergey Ryzhkov
Странно ваще. Выше кто то писал... Разрабы не могу...

я аноним. глубоко глубоко аноним. доки, опыт и прочее)

!dwarn мат

Master Craftsman
!dwarn мат

Пользователь Sergey имеет 2/3 предупреждений; будьте осторожны! Причина: мат

Master Craftsman
!dwarn мат

А ты че прям такой стукачек то? Русский мат, правильно применённый вообще никак?

Master Craftsman
Нормы поведения: https://cutt.ly/QFPWXA

Нарушение данных гребанных норм не привели ни троллингу, ни к оскарблению кого либо, ни к иным отрицательным явлениями, которые влияют на суть чата. Функционер еб...

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта