Скачать или смотреть Same-origin policy, AJAX, CORS e sicurezza

Ovvero: perché il browser non ti lascia fare chiamate AJAX dove cavolo ti pare.
Piccolo bonus a fine video: attacco CSRF usando una form e come evitarlo.

0:17 Definizione di same-origin policy (per le chiamate AJAX)
1:08 È il browser che blocca la chiamata!
1:49 Plugin che disabilitano la same-origin policy
2:52 Dettagli sul sito di esempio (A-Social)
3:29 Semantica dei metodi HTTP
4:17 Descrizione esempio endpoint /echo
5:11 GET /echo
6:19 PUT /echo (diventa OPTIONS - preflight request)
7:10 Impostazione header CORS sul server
8:29 Il comportamento cambia anche a seconda del Content-Type
9:55 Ripasso su come funzionano le sessioni
10:39 Di default nelle CORS non viene usato il cookie di sessione
11:18 Come usare i cookie di sessione con le CORS
12:28 Access-Control-Allow-Origin con domini multipli, regex e casini vari
14:55 Le form sono persone orribili
17:07 Prevenzione attacco CSRF con i token

Buona panoramica sulle CORS (in inglese):
https://developer.mozilla.org/en-US/d...

Access-Control-Allow-Origin per domini multipli:
https://stackoverflow.com/questions/1...

Codice usato in questo video:
https://bitbucket.org/zonia3000/ajax-...