огромное спасибо автору!! для тех кто только начал заниматься, обязательно выучите! лично мне на стажировке понадобилось, но я не смог найти настолько подробную и понятную инфу. так что не наступайте на мои грабли) я в вас верю :З
Спасибо за видео. А чем отличается cookie от localStorage ? И то и то хранится локально на компе. Да cookie могут и на сервере хранится, но вроде в основном на клиенте
1) Cookie присутствует в запросе между клиентом и сервером (соответственно оба имеют доступ) 2) Localstorage хранится только на клиенте и только клиент имеет доступ
По поводу того, что в вк нельзя просто скопировать и вставить - они это поправили буквально год назад. До этого можно было спокойно копировать куки, вставлять их и ты становился авторизованным
А почему это с httpOnly флагом никто не сможет создать куки у себя в браузере? Как вы и сказали - протокол http stateless и если бекенд не сохраняет состояния клиента у себя в базе данных, то злоумышленник может спокойно с помощью своего софта хоть какие угодно себе куки поставить с разными флагами и прочем. Мы же говорим о Клиентском приложение. А Клиентское приложение всегда модифицируется. Тем более такие простые вещи как Запросы (всего лишь текст) httpOnly нужно не для того, что бы такие куки нельзя было подделать (для этого есть JWT токен, например, где неподдельность данных подтверждается проверкой сигнатуры), а для того, чтобы у пользователя, который находится на Защищённом Клиентском приложении не смогли Украсть те самые httpOnly куки. httpOnly это сугубо защита Браузера от кражи и модификации скриптами Но коль украли - создать такие же куки не проблема
Да, стоит уточнить. Создавать руками в браузере можно любой куки. Флаг httpOnly сделает куки невидимой для JS в клиенте. Т.е. если back-end установил куки передачей его в headers с httpOnly, то JS в клиенте не сможет обратиться к этой куке.
![[37] Continuous Integration vs Delivery vs Deployments | [Подготовка JS разработчика к интервью]](http://i.ytimg.com/vi/42wFdCuaE0w/mqdefault.jpg)
![[37] Continuous Integration vs Delivery vs Deployments | [Подготовка JS разработчика к интервью]](/img/tr.png)
Назаслужено мало подписчиков. Контент высокого уровня. Спасибо!
корммент в поддержку, информация хорошо изложена
Братик ты что творишь, имба просто дикая
огромное спасибо автору!!
для тех кто только начал заниматься, обязательно выучите! лично мне на стажировке понадобилось, но я не смог найти настолько подробную и понятную инфу.
так что не наступайте на мои грабли) я в вас верю :З
This is great!
Отличная подача материала
Спасибо за видео
Отличное объяснение!
Thanks)
Спасибо за видео. А чем отличается cookie от localStorage ? И то и то хранится локально на компе. Да cookie могут и на сервере хранится, но вроде в основном на клиенте
1) Cookie присутствует в запросе между клиентом и сервером (соответственно оба имеют доступ)
2) Localstorage хранится только на клиенте и только клиент имеет доступ
@@DeveloperInUS спасибо за ответ. С этим в целом понятно, но куки бывают хранимые только на клиенте или только на сервере же?
Спасибо, очень полезно! Успехов!
Интересно рассказано, словно игру проходишь/изучаешь 😀
Спасибо братан, реально выручил, вспомнил куки без труда)
разве протоколы stateless? stateless rest api вроде как
Под stateless имелось в виду, что любой HTTP запрос не имеет состояния (stateless).
круто! расскажите про cors
Да, я планирую запись видео об этом
ruclips.net/video/uSo3_ILwlQs/видео.html
Ааа, эээ, иии, ааа, пацанчик, не заикайся
По поводу того, что в вк нельзя просто скопировать и вставить - они это поправили буквально год назад. До этого можно было спокойно копировать куки, вставлять их и ты становился авторизованным
Забавно =) я даже не предпологал, что такое может быть с крупнейшей соц-й сетью.
супер
А почему это с httpOnly флагом никто не сможет создать куки у себя в браузере?
Как вы и сказали - протокол http stateless
и если бекенд не сохраняет состояния клиента у себя в базе данных, то злоумышленник может спокойно с помощью своего софта хоть какие угодно себе куки поставить с разными флагами и прочем.
Мы же говорим о Клиентском приложение. А Клиентское приложение всегда модифицируется. Тем более такие простые вещи как Запросы (всего лишь текст)
httpOnly нужно не для того, что бы такие куки нельзя было подделать (для этого есть JWT токен, например, где неподдельность данных подтверждается проверкой сигнатуры), а для того, чтобы у пользователя, который находится на Защищённом Клиентском приложении не смогли Украсть те самые httpOnly куки.
httpOnly это сугубо защита Браузера от кражи и модификации скриптами
Но коль украли - создать такие же куки не проблема
Да, стоит уточнить. Создавать руками в браузере можно любой куки. Флаг httpOnly сделает куки невидимой для JS в клиенте. Т.е. если back-end установил куки передачей его в headers с httpOnly, то JS в клиенте не сможет обратиться к этой куке.
Не 3кб, а 4 кб
Не 3кб, а екб(екатеринбург)
4096 байт