BeLove 9 июн 2015 в 19:19

(Не)безопасный frontend

13 мин

60K

Блог компании Digital SecurityИнформационная безопасность*

+62

Комментарии 4

mayorovp 9 июн 2015 в 20:37

По поводу JSONP. Я думаю, стоит сказать, что JSONP всегда работает так, как могла бы работать комбинация из Access-Control-Allow-Origin: * и Access-Control-Allow-Credentials: true.

BeLove 9 июн 2015 в 20:39

То есть? В статье как раз сказано, что эти заголовки несовместимы (креды не отправляются). А для защиты jsonp нужны токены (например, как anti-CSRF).

mayorovp 9 июн 2015 в 20:41

Вот именно. В CORS они не совместимы — а в JSONP то поведение, от которого защитились в CORS, работает «из коробки».

BeLove 9 июн 2015 в 20:48

Если так извернуть задачи решения данных технологий — то да. Я к чему, jsonp — может быть и не кроссдоменный. Т.е. он изначально не решал вопрос кроссдоменной работы, просто оказался удобным. А CORS — именно кроссдоменная работа (с OPTIONS, все дела). Так что по мне сложно сравнивать эти две технологии, за исключением частного случая применения JSONP для кроссдоменной работы.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий