justdoit123 最近的时间轴更新 justdoit123 最近的时间轴更新
stay hungry, stay fool. 无知的卡夫卡
2016-01-10 09:15:41 +08:00
复习高数~
2015-08-18 21:11:09 +08:00
 |
justdoit123V2EX 第 87040 号会员,加入于 2014-12-17 02:01:48 +08:00今日活跃度排名 3032 |
| [ http 缓存] 为什么 Cache-Control 还需要 immutable 这个指令? 科技 • justdoit123 • 21 小时 18 分钟前 • 最后回复来自 justdoit123 | 8 |
| [浏览器] XMLHttpRequest/fetch 有办法构造出所谓的“简单请求”吗? 科技 • justdoit123 • 9 天前 • 最后回复来自 justdoit123 | 12 |
| rpc 服务中,“业务错误”的返回应该如何设计?
1 Coding • justdoit123 • 23 天前 • 最后回复来自 justdoit123
|
8 |
| react-hooks 场景下,如何在异步回调里访问当前的状态值? React • justdoit123 • 76 天前 • 最后回复来自 rookie2luochao | 19 |
| 电商系统表结构设计——曾经购买 问与答 • justdoit123 • 119 天前 • 最后回复来自 wumou | 14 |
| 关于前端 function component 的一点疑问。 前端开发 • justdoit123 • 142 天前 • 最后回复来自 sjhhjx0122 | 5 |
| 前端有没有比离线的 Playground 环境? 前端开发 • justdoit123 • 149 天前 • 最后回复来自 justdoit123 | 2 |
| 如何设计一个 redis 计数缓存? 科技 • justdoit123 • 171 天前 • 最后回复来自 wu00 | 5 |
| 大家的 CI 都是怎么搭建的? DevOps • justdoit123 • 172 天前 • 最后回复来自 fsdrw08 | 25 |
justdoit123 最近回复了
21 小时 18 分钟前 回复了 justdoit123 创建的主题 › 科技 › [ http 缓存] 为什么 Cache-Control 还需要 immutable 这个指令? |
21 小时 21 分钟前 回复了 justdoit123 创建的主题 › 科技 › [ http 缓存] 为什么 Cache-Control 还需要 immutable 这个指令? |
@sagaxu 你说的那是协商缓存吧? Expires 与 Cache-Control max-age=XXX 是强缓存。
21 小时 21 分钟前 回复了 justdoit123 创建的主题 › 科技 › [ http 缓存] 为什么 Cache-Control 还需要 immutable 这个指令? |
@bxb100 感谢~ 这个 Q&A 说得很清楚。
9 天前 回复了 drymonfidelia 创建的主题 › 信息安全 › 把所有 POST 请求都换成 PUT,不返回允许非同源请求的响应头,是否就不需要考虑 CORS 攻击了? |
@lovelylain 浏览器为了向后兼容,依然允许表单构建的请求进行跨域。而表单请求只有 GET/POST 两种 method 。这种请求,是有办法自动带上目标网站的 Cookie 的,从而实现 CSRF 攻击。
9 天前 回复了 drymonfidelia 创建的主题 › 信息安全 › 把所有 POST 请求都换成 PUT,不返回允许非同源请求的响应头,是否就不需要考虑 CORS 攻击了? |
我认为是可以的。如果请求允许 PUT ,那么就无法在浏览器端构建出 CSRF 攻击。
但是,这种防御方式有点自损八百的感觉。
另外,我心中也有一个疑惑,为什么有的人要把 CSRF token 存放到 session 里?我感觉这种绑定的意义不大,还增加服务的负担。
但是,这种防御方式有点自损八百的感觉。
另外,我心中也有一个疑惑,为什么有的人要把 CSRF token 存放到 session 里?我感觉这种绑定的意义不大,还增加服务的负担。
9 天前 回复了 justdoit123 创建的主题 › 科技 › [浏览器] XMLHttpRequest/fetch 有办法构造出所谓的“简单请求”吗? |
不用讨论这样做 CORS 。我只是读文档,有疑惑而已。
楼上 #1, #6 说的是正解,非常感谢~ 意思就是说,简单请求 **只是** 不触发预检,并不是说这类请求能绕过 CORS 保护。
而 script 、img 、link 、form 这类标签构造出来的请求能绕过 CORS 保护,是为了 **向后兼容**。
楼上 #1, #6 说的是正解,非常感谢~ 意思就是说,简单请求 **只是** 不触发预检,并不是说这类请求能绕过 CORS 保护。
而 script 、img 、link 、form 这类标签构造出来的请求能绕过 CORS 保护,是为了 **向后兼容**。
15 天前 回复了 shadowyue 创建的主题 › 程序员 › 大家都是草台班子😂,我干了这么多年开发,能把跨域问题说清楚的人也没几个😅 |
太正常了。
web 环境跟 server 环境经常混为一谈。狭义一点的 web 环境,应该是指浏览器环境。 但是 http server 不是只服务于浏览器。
经典的几个莫名其妙的问题以及神奇操作。
1. cookie 与 session 有什么区别?二者不是之间替代品,没什么好比较。
2. cookie 与 jwt token 有什么区别?二者不是之间替代品,没什么好比较。
3. 在浏览器环境,把 jwt token 塞 Authentication header 里。那请问你的 jwt token 不是需要让 js 访问吗?那不是等于会泄露在某处?
4. 把公开的 API 加上 CSRF 保护。这类 API ,一般会用服务于 sdk 、app 、server 2 server ,这种场景下防什么 CSRF 攻击。CSRF 攻击只在浏览器发生。server 可以分流,身份信息 放在 cookie 里的,是浏览器流量,需要 CSRF 保护,放在 Authentication header 里的,是一些非浏览器流量,不需要 CSRF 保护。
...
web 环境跟 server 环境经常混为一谈。狭义一点的 web 环境,应该是指浏览器环境。 但是 http server 不是只服务于浏览器。
经典的几个莫名其妙的问题以及神奇操作。
1. cookie 与 session 有什么区别?二者不是之间替代品,没什么好比较。
2. cookie 与 jwt token 有什么区别?二者不是之间替代品,没什么好比较。
3. 在浏览器环境,把 jwt token 塞 Authentication header 里。那请问你的 jwt token 不是需要让 js 访问吗?那不是等于会泄露在某处?
4. 把公开的 API 加上 CSRF 保护。这类 API ,一般会用服务于 sdk 、app 、server 2 server ,这种场景下防什么 CSRF 攻击。CSRF 攻击只在浏览器发生。server 可以分流,身份信息 放在 cookie 里的,是浏览器流量,需要 CSRF 保护,放在 Authentication header 里的,是一些非浏览器流量,不需要 CSRF 保护。
...
18 天前 回复了 tangkikodo 创建的主题 › 程序员 › 从前后端分工的利弊谈起,聊聊这套分工的未来方向 |
GraphQL 之前的项目用过。现在接一些第三方服务也会用到。反正还是喜欢不起来,感觉国外比较受欢迎。
我不喜欢大概有两点:
1. 引入新的 DSL 。我觉得 API 对接还没到需要引入一个 DSL 的地步,围绕着这个 DSL 有好多生态要搭建,做不好体验就比较差。写 query 时的字段补全、嵌套 format 等等问题。感觉体验不太好。
2. 容易写成一个臃肿的请求。
我不喜欢大概有两点:
1. 引入新的 DSL 。我觉得 API 对接还没到需要引入一个 DSL 的地步,围绕着这个 DSL 有好多生态要搭建,做不好体验就比较差。写 query 时的字段补全、嵌套 format 等等问题。感觉体验不太好。
2. 容易写成一个臃肿的请求。
18 天前 回复了 tangkikodo 创建的主题 › 程序员 › 从前后端分工的利弊谈起,聊聊这套分工的未来方向 |
没有细看过 trpc ,它跟 grpc 比起来有什么优势吗? grpc 也能生成 TS client ,不过感觉确实有类型丢失。
Select Language