огромное спасибо автору!! для тех кто только начал заниматься, обязательно выучите! лично мне на стажировке понадобилось, но я не смог найти настолько подробную и понятную инфу. так что не наступайте на мои грабли) я в вас верю :З
Спасибо за видео. А чем отличается cookie от localStorage ? И то и то хранится локально на компе. Да cookie могут и на сервере хранится, но вроде в основном на клиенте
1) Cookie присутствует в запросе между клиентом и сервером (соответственно оба имеют доступ) 2) Localstorage хранится только на клиенте и только клиент имеет доступ
По поводу того, что в вк нельзя просто скопировать и вставить - они это поправили буквально год назад. До этого можно было спокойно копировать куки, вставлять их и ты становился авторизованным
А почему это с httpOnly флагом никто не сможет создать куки у себя в браузере? Как вы и сказали - протокол http stateless и если бекенд не сохраняет состояния клиента у себя в базе данных, то злоумышленник может спокойно с помощью своего софта хоть какие угодно себе куки поставить с разными флагами и прочем. Мы же говорим о Клиентском приложение. А Клиентское приложение всегда модифицируется. Тем более такие простые вещи как Запросы (всего лишь текст) httpOnly нужно не для того, что бы такие куки нельзя было подделать (для этого есть JWT токен, например, где неподдельность данных подтверждается проверкой сигнатуры), а для того, чтобы у пользователя, который находится на Защищённом Клиентском приложении не смогли Украсть те самые httpOnly куки. httpOnly это сугубо защита Браузера от кражи и модификации скриптами Но коль украли - создать такие же куки не проблема
Да, стоит уточнить. Создавать руками в браузере можно любой куки. Флаг httpOnly сделает куки невидимой для JS в клиенте. Т.е. если back-end установил куки передачей его в headers с httpOnly, то JS в клиенте не сможет обратиться к этой куке.
Назаслужено мало подписчиков. Контент высокого уровня. Спасибо!
Братик ты что творишь, имба просто дикая
огромное спасибо автору!!
для тех кто только начал заниматься, обязательно выучите! лично мне на стажировке понадобилось, но я не смог найти настолько подробную и понятную инфу.
так что не наступайте на мои грабли) я в вас верю :З
Спасибо, очень полезно! Успехов!
корммент в поддержку, информация хорошо изложена
Интересно рассказано, словно игру проходишь/изучаешь 😀
Спасибо братан, реально выручил, вспомнил куки без труда)
Отличное объяснение!
This is great!
Спасибо за видео
Thanks)
супер
Спасибо за видео. А чем отличается cookie от localStorage ? И то и то хранится локально на компе. Да cookie могут и на сервере хранится, но вроде в основном на клиенте
1) Cookie присутствует в запросе между клиентом и сервером (соответственно оба имеют доступ)
2) Localstorage хранится только на клиенте и только клиент имеет доступ
@@DeveloperInUS спасибо за ответ. С этим в целом понятно, но куки бывают хранимые только на клиенте или только на сервере же?
круто! расскажите про cors
Да, я планирую запись видео об этом
ua-cam.com/video/uSo3_ILwlQs/v-deo.html
Не 3кб, а 4 кб
По поводу того, что в вк нельзя просто скопировать и вставить - они это поправили буквально год назад. До этого можно было спокойно копировать куки, вставлять их и ты становился авторизованным
Забавно =) я даже не предпологал, что такое может быть с крупнейшей соц-й сетью.
А почему это с httpOnly флагом никто не сможет создать куки у себя в браузере?
Как вы и сказали - протокол http stateless
и если бекенд не сохраняет состояния клиента у себя в базе данных, то злоумышленник может спокойно с помощью своего софта хоть какие угодно себе куки поставить с разными флагами и прочем.
Мы же говорим о Клиентском приложение. А Клиентское приложение всегда модифицируется. Тем более такие простые вещи как Запросы (всего лишь текст)
httpOnly нужно не для того, что бы такие куки нельзя было подделать (для этого есть JWT токен, например, где неподдельность данных подтверждается проверкой сигнатуры), а для того, чтобы у пользователя, который находится на Защищённом Клиентском приложении не смогли Украсть те самые httpOnly куки.
httpOnly это сугубо защита Браузера от кражи и модификации скриптами
Но коль украли - создать такие же куки не проблема
Да, стоит уточнить. Создавать руками в браузере можно любой куки. Флаг httpOnly сделает куки невидимой для JS в клиенте. Т.е. если back-end установил куки передачей его в headers с httpOnly, то JS в клиенте не сможет обратиться к этой куке.
4096 байт
разве протоколы stateless? stateless rest api вроде как
Под stateless имелось в виду, что любой HTTP запрос не имеет состояния (stateless).