Очередной раз, огромная благодарность за видео!!!! Прочитал Вашу статью "Маскировка CSRF-токена", там так же очередная благодарность, за то, что Вы делаете, если честно не понятно, почему у Spring документация, как на ВАЗ 2101, но такое..... По маскировке CSRF-токена, хотел узнать, Вы говорите, что нужно все время делать разный размер маски, но зачем, ведь ключ к расшифровке (маски+токена) на сервере, заключается в том, чтобы знать какого размера сам токен, тоесть если использовать UUID он всегда равен 36
Спасибо большое за контент! Есть ли шансы на то, что можно будет увидеть видео про конфигурацию Spring Security с несколькими способами аутентификации (Например JWT и OAuth) в рамках одного сервиса?
Спасибо за урок! Есть небольшой вопрос для уточнения, как csrf атака могла так долго существовать (сейчас ее на многих ресурсах отмечают невалидной) если у нас есть CORS политика? Вы показали пример, когда на бэкенде был get запрос, что встречается крайне редко, а при post запросе CORS сработает автоматически.
1. CORS стандартом стал лишь в 2014 году 2. Многие разработчики сознательно ослабляют настройки CORS при разработке фронтенда отдельно от бекенда, не понимая последствий таких решений
Статья к ролику: alexkosarev.name/2023/07/15/spring-security-csrf/
офигенные статьи к роликам. низкий поклон...
Повторюсь: отличный канал
Круто, спасибо за видео! Респект автору)
Очень интересно, я вот даже не знал про все это, даже задумался как бы я делал бы обманки))
Чел, ты крут!
Спасибо за полезный контент!)
Супер подробно, супер наглядно, супер спасибо)))
Очередной раз, огромная благодарность за видео!!!!
Прочитал Вашу статью "Маскировка CSRF-токена", там так же очередная благодарность, за то, что Вы делаете, если честно не понятно, почему у Spring документация, как на ВАЗ 2101, но такое.....
По маскировке CSRF-токена, хотел узнать, Вы говорите, что нужно все время делать разный размер маски, но зачем, ведь ключ к расшифровке (маски+токена) на сервере, заключается в том, чтобы знать какого размера сам токен, тоесть если использовать UUID он всегда равен 36
со стороны атакующего это не очевидно
лайк, коммент, некст!
Спасибо большое за контент! Есть ли шансы на то, что можно будет увидеть видео про конфигурацию Spring Security с несколькими способами аутентификации (Например JWT и OAuth) в рамках одного сервиса?
Будет
Спасибо за урок! Есть небольшой вопрос для уточнения, как csrf атака могла так долго существовать (сейчас ее на многих ресурсах отмечают невалидной) если у нас есть CORS политика? Вы показали пример, когда на бэкенде был get запрос, что встречается крайне редко, а при post запросе CORS сработает автоматически.
1. CORS стандартом стал лишь в 2014 году
2. Многие разработчики сознательно ослабляют настройки CORS при разработке фронтенда отдельно от бекенда, не понимая последствий таких решений
@@shurik_codes ааа, ясно, я упустил этот момент, думал CORS существует «с первых дней».
Спасибо за ответ!)
То есть получается отправка при post запросов это больше к фронту чем к беку относится?
Именно
Контент топчик! Еще бы причмокивать перестал - вообще зашибись было бы.