« предыдущая ветвь | форум | следующая ветвь »

Страницы: 1234

Общая > rss 

 

ну что там на бэкэнде я хз, я чисто с точки зрении фронтэнда написал

хотя причем тут сессии я вообще не понимаю, это через браузер пользователя делается, через его сессию

 

Я тебе так скажу. Есть несколько вариантов обхода отсутствия заголовка "Access-Control-Allow-Origin". Но, чтоб не заниматься лабудой, проще добавить в ответ этот заголовок.

Ибо бэкэнду его отсутствие ну никак не помогает, а фронтэнду только геморроя добавляет. Вообще не вижу смысла в этой "policy". ИМХО.

Если я не прав - дайте пример. Только не надо теории, надо проверенные вещи. Я вот свои предыдущие два поста проверил прежде чем писать, так что проявите уважение.

з.ы. и Милосердие =)

А что мешает дергать curl-ом?

 

так вот и не хочется ни курла, ни прокли.. просто из браузера.
Плагин я хочу написать к хрому, чтоб посты мне новые выводил.

*прокси

 

ну это зависит от бэкэнда.
да бэкэнду не помогает, помогает пользователям, смысл в защите пользователей.
ну если б на гугл меил можно было бы делать кроссдоменные запросы, можно было бы отправлять письма от имени пользователя который там авторизирован заманив на свой сайт

 

нет, нельзя. кроссдоменный запрос идёт с "своего сайта", об авторизации на мэйлру речи нет. Авторизация осталась, скажем так "в соседней вкладке".
Защищать тут не от чего.

А то о чём ты говоришь - это не кроссдоменный запрос, а как раз таки обычный ajax запрос внутри одного домена. Это другая история.

Я спать)

 

ну дак а выполняется ведь он у пользователя этого своего сайта, авторизация зависит от наличия соответствующих куки у пользователя. кароч забей) может и сделают, если прочитают вообще

 

Так здесь то просто контент отдается, данные никак не меняются, а занчит не получится сделать csrf и сессионную куку тоже никак не получить из запроса, современные браузеры это запрещают.

Точнее из ответа сервера не получить куку. Поэтому не получится даже атаковать этот форум на котором нет cors.

 

да это то без разницы, что гет что пост можно делать
тут суть в запросе, я то откуда знал что за запрос он хочет делать, если как я понял, просто сообщения с форума брать, то да, ничего страшного

наркоманы)

 

да в итоге все просто - нужно тупо распарсить xml, помуторней чем xmlhttprequest но че делать

 

А 2 страницы это дело обсуждать на форуме - это наркоманство.)

Наркоман наркоману рознь) Доброе утро)

 

Не, давайте продолжим, я выспался) А что "страшного" я могу сделать? Может я ошибаюсь просто, и это действительно не безопасно?

ап, добавьте заголовок

дак это от запроса зависит вот допустим для этого запроса
....
else if(cmd==='delete' || cmd==='delete_all_read' || cmd==='lock' || cmd==='unlock'){
req.open('POST', 'telegram.pl', false)
req.send(cmd+data)
}
...
поставить access-control-allow-origin * то можно будет удалить все телеграммы пользователя если он щас в игре и зайдет на твой сайт с скриптом который их будет удалять
запросы бывают и более общие
в случаи запроса к рсс - безопасно
а вообще я не вижу проблемы это просто распарсить