Добрый день!
Пытаюсь добавить горизонтальный блок ссылок на доп.материалы, пример из справки в отладчике работает только для vertical, horizontal не срабатывает и теряет все блоки кроме первого, а также короткое описание блоков (см.скрин 1).
Это ошибка отладчика или самого блока?
мой вопрос затерялся 😕
Защита от XSS обеспечивается использованием CORS-headers. Технически разницы между передачей turbo_id в URL запроса или сессионной куки нет. На Турбо-страницу добавить функционал приема и обработки дополнительных данных, увы, не получится. Как и любого другого стороннего скрипта.
Меня беспокоит CSRF
Добрый день! CORS-заголовки нормально работают только при точном указании протокола обмена и домена, с которого приходит запрос. То есть скрипт, обрабатывающий запросы должен взять эту информацию из заголовка Origin, сравнить его со своим списком разрешенных хостов и, в случае успеха, отдать Access-Control-Allow-Origin с указанием протокола. Например,
Access-Control-Allow-Origin: https://https://yourdomain-ru.turbopages.org
На Турбо куки не прокидываются, информация о результате авторизации передается через JS-функцию postMessage() , пример реализации на PHP есть в Справке - https://yandex.ru/dev/turbo/doc/settings/auth-wordpress.html , описание общего принципа работы можно найти чуть выше по боковой навигации.
В продолжение про куки: правильно ли я понимаю, что после postMessage() пользователя возвращает на трубо-страницу и с нее отправляется GET-запрос на проверку авторизации (без сессионной куки, только по TURBO_ID)?
Звучит не безопасно, или я не правильно понимаю логику работы?Есть какой-то вариант добавить в родительский addEventListener прослушивание сессионной куки из iframe и добавления ее на турбо-страницу?
Подскажите, пожалуйста, планирую подключать комментарии на турбостраницы, как себя поведут турбо-страницы, если разрешить Cross-Origin только для запросов с *.yandex.* (для *.turbopages.org не разрешать )?
Так же интересует момент с iframe формы авторизации: кука полученная внутри iframe прокидывается на турбо-страницу?
Пытаюсь настроить CSS, для таблиц не срабатывает `display: none` ни в html, ни в css. Баг или фича?
Подскажите, пожалуйста, есть ли какие-то ограничения по вложенности комментариев?И как работать с limit/offset в этом случае?
Пример:id1: коммент1 |---- id4: ответ на id1 |---- |---- id5: ответ на id4 |---- |---- |----id6: ответ на id5 |---- |---- id7: ответ на id4id2: коммент2id3: коммент3
