Рубрика «Веб» - 5

Правило №1. Делайте все авторизационные куки HttpOnly

Куки с флагом HttpOnly не видны браузеру, а отправляются только на сервер. На практике у вас почти никогда нет необходимости получать их содержимое со стороны клиента (если такая необходимость почему-то у вас возникла — пересмотрите архитектуру авторизации, скорее всего, там что-то не так). А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.

Читать полностью »

Правило №1. Делайте все авторизационные куки HttpOnly

Куки с флагом HttpOnly не видны браузеру, а отправляются только на сервер. На практике у вас почти никогда нет необходимости получать их содержимое со стороны клиента (если такая необходимость почему-то у вас возникла — пересмотрите архитектуру авторизации, скорее всего, там что-то не так). А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.

Читать полностью »

Я сегодня думал над тем, как можно упростить довольно привычное действие: позвонить по телефону, который написан на сайте. И в голову пришла такая идея — почему бы не делать так, чтобы при наведении курсора мыши на номер телефона отображалась всплывающая подсказка с QR-кодом, который можно тут же считать с помощью телефона, и сразу звонить, не переписывая номер вручную.

Скриншот страницы

Причём записывать в таком QR-коде можно не только номер, но и различную вспомогательную информацию — такую как адрес электронной почты, имя человека, и прочее — всё, что позволяет записать vCard. Таким образомЧитать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js