Задать вопрос
Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (2)

Наибольший вклад в теги

Все теги (22)

Лучшие ответы пользователя

Все ответы (28)
  • Local storage, backend и всё?

    @tvsjke
    информация засекречена
    1. Существует. Скрипт по какому-то протоколу передает данные "альтернативе", "альтернатива" что-то делает с этими данными и возвращает их обратно

    2. Ну раз вы ls пользовались, то все, точка уже пройдена

    3. Эти вещи полярные на 87%

    4. Это все очень важная информация. Не советую вам приступать к backend прежде чем вы выучите как работает электричество, процессор и все уровни OSI.
    Ответ написан
    Комментировать
  • Как лучше работать с удаленным проектом и phpstorm?

    @tvsjke
    информация засекречена
    Выкачиваешь проект по http, поднимаешь на локалке, изменения пушишь через git
    Ответ написан
    2 комментария
  • Что можете рассказать о LinkedIn?

    @tvsjke
    информация засекречена
    1. 3-4 года
    2. Стоит изначально заполнять на английском
    3. Сейчас живу в Израиле, и здесь несколько специфическая ситуация - через линкедин в основном ищут сотрудников в топ-компании, и оформление вкупе с прокачанностью профиля играют немаловажную роль
    4. Реально при наличии определенного уровня
    Ответ написан
    Комментировать
  • Развивающая игра для детей, как написать?

    @tvsjke
    информация засекречена
    JS, canvas
    Ответ написан
    Комментировать
  • Как сделать правильную авторизацию на Vue.js?

    @tvsjke
    информация засекречена
    Использовать JWT

    По поводу хранения:

    Cookies при правильном использовании являются адекватным и наиболее безопасным на данный момент решением для хранения JWT Access токена и должны следовать следующим правилам:

    • Быть установленными для API домена/пути чтобы избежать оверхеда при запросах к статичным файлам (публичным картинкам/стилям/js файлам).

    • Иметь флаг Secure (для передачи только по https).
    • Иметь флаг httpOnly (для невозможности получения доступа из JavaScript).
    • Атрибут SameSite должен быть Strict для защиты от CSRF аттак, запретит передачу Cookie файлов если переход к вашему API был не с установленого в Cookie домена.


    На стороне сервера так же должно быть настроено:
    • Content-Security-Policy – ограничение доверенных доменов для предотвращения возможных XSS атак
    • Заголовок X-Frame-Options для защиты от атак типа clickjacking.
    • X-XSS-Protection – принудительно включить встроенный механизм защиты браузера от XSS атак.
    • X-Content-Type-Options – для защиты от подмены MIME типов.


    Соблюдение этих мер вкупе с частой ротацией Access/Refresh токенов должно помочь обеспечить высокий уровень безопасности на сайте.

    Отсюда
    Ответ написан
    1 комментарий

Лучшие вопросы пользователя

Все вопросы (43)