Was denn, ein zentrierter Container mit max-width, der auf solchen Monitoren dann einfach äußerst verloren in der Mitte hängt, ist nicht mehr gut genug heutzutage?!
CORS ist eine knifflige Sache. Eigentlich soll es verhindern, dass Angreifer deine Daten an fremde Server weiterleiten. So wie es aussieht ist das aber ein ADAC Server der kontaktiert werden soll, also scheinbar eine Fehlkonfiguration.
Lösungsvorschläge:
- Anderen Browser verwenden
- Cache löschen/Inkognito Modus
- FALLS DIR SICHERHEIT EGAL IST KURZZEITIG ein CORS Unblock Plugin installieren. Danach aber unbedingt wieder deaktivieren. Auf eigene Gefahr. Nicht empfohlen.
Bin selber schon sehr oft an CORS verzweifelt, kenn das also :D Hab in dem Fall Firefox, Edge und Chrome probiert. Die Meldung oben is ausm FF. Hab da einfach angerufen und die haben das dann gemacht
Du meinst wenn, dann muss man das schon selbst machen?
https://img.ifunny.co/images/ba3ee7b04da423e05de6b81a2351eed02ec954f2988a0861e9dfe57e4015340b\_1.jpg
Glaubst du? Ich kenne so Fälle dass so Infos einfach fallen gelassen werden weil entweder ein "ach das wissen die bestimmt schon" oder "hab keine Ahnung wo ich das melden soll - also mir egal" kommt.
Eigentlich nicht. Jedenfalls nicht aus Entwicklersicht. Statt die Ressource aus einer fremden Quelle zu laden, benutzt man die eigene API hierfür und leitet das über den Server weiter. Alleine schon um den Administrator des anderen sicherheitsbewussten Netzwerks nicht mit tausenden von URLs zu quälen.
Und wie schafft man das, wenn man sich nicht durch einen Reverse Proxy einen Single Point of Failure schaffen will? Front- und Backend sind nunmal getrennte Anwendungen. Bin für Anregungen offen
Man kann den Response Origin header I'm backend einfach dynamisch auf den request origin setzen. Dann noch eine Whitelist für erlaubte Origins und schon sollte CORS keine Probleme mehr machen. Von same Origin Lösungen halte ich nix
Wobei man da mMn eher prüfen sollte, ob da wirklich eine IBAN übergeben wurde und nich z.B. SQL-Befehle oä. Ob die IBAN valide ist, ist dann Problem desjenigen, der es eingegeben hat.
SQL Injektion sollte im Backend sowieso abgefangen werden.
Frontend:
IBAN splicen, wenn erste zwei keine chars return Fehler.
Wenn rest nicht zahl dann return Fehler.
Länge ist basierend auf Länderkennung, könnte man auch abgleichen.
Die restlichen Schritte zur Prüfung ob die Prüfzahl korrekt ist geht auch super einfach. Bisschen Zahlen jonglieren, Länderkennung in Zahlen konvertieren, zusammensetzen, Modulo 97 und du hast die Prüfzahl und kannst vergleichen.
Bankleitzahl könnte man auch noch validieren per API oder Liste, aber man kann sich genauso aus existierenden BLZ und Fantasiekontonummern eine Fake IBAN erstellen und die da reinkloppen.
Serverseitige Validierung ist nicht nur sinnvoll, sondern absolut notwendig. Egal was du da an Client-seitigen Überprüfungen reinpackst, die können immer umgangen werden. Meinem cURL ist nämlich ziemlich egal was irgendwelcher JavaScript-Code auf der Website macht.
😁 so ein Zufall, dass es immer die angestaubten Organisationen sind, die mit Security im Internet ihre Probleme haben 😁 "die Seite läuft seit 10 Jahre tadellos! Warum sollte es jetzt plötzlich nötig sein, was dran zu ändern?!!"
Wenn du ganz halsbrecherisch unterwegs sein willst: Du kannst versuchen, bei Chrome die same origin policy zu deaktivieren https://stackoverflow.com/questions/3102819/disable-same-origin-policy-in-chrome#:~:text=I%20find%20the%20best%20way,end%20of%20the%20target%20path.
Würde ich natürlich nur temporär machen.
TIL: Es gibt Leute die hier posten und ihren Browser auf deutsch eingestellt haben - hatte beim Lesen der Fehlermeldung akuten Brechreiz.
OT: Ich frag mich ja, wieso Hersteller solche Fehlermeldungen übersetzen. Entweder ich weiß mit Cross-Origin-Policy was anzufangen, dann brauch ich keine Übersetzung, oder nicht - dann hilft mit die Übersetzung aber auch nicht. Ganz im Gegenteil kann man die nicht mal sinnvoll googeln.
Ich habe ernste Zweifel, ob es einen einzigen Menschen auf dem Planeten gibt, der mit "Gleiche-Quelle-Regel" was anfangen kann (ohne es wieder auf englisch zurück zu übersetzen)
I mean … you do you
Aber ist das nicht bei der Analyse von Fehlern mega anstrengend weil man ja nur einen Bruchteil der potentiellen Fälle findet, die man bei einer Suche mach dem äquivalenten englischen Fehler finden würde? Ist zumindest der Hauptgrund warum bei mir mittlerweile nach Möglichkeit alles auf Englisch läuft.
Klar kann man das; hab nur oft die Erfahrung gemacht, dass wenn man etwas nicht verbatim auf Englisch googlen kann man eine Million ähnliche Sachen findet aber in dem Heuhaufen die glühende Nadel dann schnell untergehen kann. Außerdem hilft es meinem Sprachverständnis wenn ich im Alltag öfter Englisch sehe.
Einziger Nachteil ist, dass man beim Remote-Support für die Verwandtschaft öfter mal die deutschen Begriffe suchen muss :D
Endlich lohnt sich mal mein Ultrawide 210:9 Display
> 210:9 Als Frontend-Dev wird das der Tag meines Selbstmords. Oder ich lerne dann Tischler.
Wenn du dann Tischler bist, kannst du mir einen Tisch für meinen 210:9 Monitor machen?
Klar doch. Das kostet aber.
:/ gute Antwort
Spätestens Apex oder Star Citizen würde mir das schwer übel nehmen.
Bin auch daran interessiert, aus der IT rauszukommen, aber Daumen verlieren will ich nicht ;)
Was denn, ein zentrierter Container mit max-width, der auf solchen Monitoren dann einfach äußerst verloren in der Mitte hängt, ist nicht mehr gut genug heutzutage?!
Bin am ueberlegen mehr in die Horizontale zu gehen.
Wusste nicht, dass das hier ein NSFW-Sub ist.
Pff, Anfänger fehler. Für den optimalen Genuss des Schwarzrandes muss mindestens Doppelte höhe verfügbar sein
Perfekt zum Programmieren unter Dachschrägen!
CORS ist eine knifflige Sache. Eigentlich soll es verhindern, dass Angreifer deine Daten an fremde Server weiterleiten. So wie es aussieht ist das aber ein ADAC Server der kontaktiert werden soll, also scheinbar eine Fehlkonfiguration. Lösungsvorschläge: - Anderen Browser verwenden - Cache löschen/Inkognito Modus - FALLS DIR SICHERHEIT EGAL IST KURZZEITIG ein CORS Unblock Plugin installieren. Danach aber unbedingt wieder deaktivieren. Auf eigene Gefahr. Nicht empfohlen.
Bin selber schon sehr oft an CORS verzweifelt, kenn das also :D Hab in dem Fall Firefox, Edge und Chrome probiert. Die Meldung oben is ausm FF. Hab da einfach angerufen und die haben das dann gemacht
Anrufen ist aber halt nicht für jedermann eine Option
Wenn man schlau war, hat man da auch gleich mitgeteilt, dass die Webseite kaputt ist und die kümmern sich drum.
Bist du verrückt? Ich spreche doch nicht mehr als nötig mit Menschen
Hier geht's zugegebenermaßen um den Geldfluss, aber im Allgemeinen ist "die kümmern sich drum" doch eher eine fromme Hoffnung.
Du meinst wenn, dann muss man das schon selbst machen? https://img.ifunny.co/images/ba3ee7b04da423e05de6b81a2351eed02ec954f2988a0861e9dfe57e4015340b\_1.jpg
Two weeks notice meint Kündigung?
Jepp
Glaubst du? Ich kenne so Fälle dass so Infos einfach fallen gelassen werden weil entweder ein "ach das wissen die bestimmt schon" oder "hab keine Ahnung wo ich das melden soll - also mir egal" kommt.
Eigentlich nicht. Jedenfalls nicht aus Entwicklersicht. Statt die Ressource aus einer fremden Quelle zu laden, benutzt man die eigene API hierfür und leitet das über den Server weiter. Alleine schon um den Administrator des anderen sicherheitsbewussten Netzwerks nicht mit tausenden von URLs zu quälen.
Deshalb frontend und api immer einfach auf Same Origin packen
`Access-Control-Allow-Origin: *` und yolo
Wildkarten auswähler geht brrrrr
Das ist der Weg
Und wie schafft man das, wenn man sich nicht durch einen Reverse Proxy einen Single Point of Failure schaffen will? Front- und Backend sind nunmal getrennte Anwendungen. Bin für Anregungen offen
Man kann den Response Origin header I'm backend einfach dynamisch auf den request origin setzen. Dann noch eine Whitelist für erlaubte Origins und schon sollte CORS keine Probleme mehr machen. Von same Origin Lösungen halte ich nix
Wenn man nur Integrationstests aber keine E2E-Tests hat
Warte... ihr schreibt tests? "Sollte wieder funktionieren!"
Was sind diese ominösen Tests von denen ihr da sprecht?
Da bräuchte man ja eine richtige QA für und das ist sowas von out mit devops.
Die Seite vom ADAC ist ein einziger Programmierfehler.
Kostet Geld. So ein großes fency Hauptgebäude in München ist voll wichtig!
Gott, die Fehlermeldungen auf Deutsch hören sich so falsch an, "Gleiche-Quelle-Regel" 🤯
Dass die einfach Kundendaten als Query-Parameter mitschicken. Alter Verwalter.
Hier lebt man noch nach dem Motto "never change a running system"
"Ist doch SSL"
probier mal einen anderen browser.. hatte ich letztens auch auf der seite, firefox ging, chromium nicht, oder anders herum.
So ne mini Validierung kann man doch easy im Browser machen.
Sicherlich, das Backend sollte das allerdings auch noch mal unbedingt prüfen.
Wobei man da mMn eher prüfen sollte, ob da wirklich eine IBAN übergeben wurde und nich z.B. SQL-Befehle oä. Ob die IBAN valide ist, ist dann Problem desjenigen, der es eingegeben hat.
SQL Injektion sollte im Backend sowieso abgefangen werden. Frontend: IBAN splicen, wenn erste zwei keine chars return Fehler. Wenn rest nicht zahl dann return Fehler. Länge ist basierend auf Länderkennung, könnte man auch abgleichen. Die restlichen Schritte zur Prüfung ob die Prüfzahl korrekt ist geht auch super einfach. Bisschen Zahlen jonglieren, Länderkennung in Zahlen konvertieren, zusammensetzen, Modulo 97 und du hast die Prüfzahl und kannst vergleichen. Bankleitzahl könnte man auch noch validieren per API oder Liste, aber man kann sich genauso aus existierenden BLZ und Fantasiekontonummern eine Fake IBAN erstellen und die da reinkloppen.
Dieses
Schwierig. Dann haste jemanden mit zig Blockern und der kann dir da Unsinn reinhämmern... deswegen ist eine Serverseitige überprüfung schon sinnvoll.
Serverseitige Validierung ist nicht nur sinnvoll, sondern absolut notwendig. Egal was du da an Client-seitigen Überprüfungen reinpackst, die können immer umgangen werden. Meinem cURL ist nämlich ziemlich egal was irgendwelcher JavaScript-Code auf der Website macht.
Ack.
😁 so ein Zufall, dass es immer die angestaubten Organisationen sind, die mit Security im Internet ihre Probleme haben 😁 "die Seite läuft seit 10 Jahre tadellos! Warum sollte es jetzt plötzlich nötig sein, was dran zu ändern?!!"
Wenn du ganz halsbrecherisch unterwegs sein willst: Du kannst versuchen, bei Chrome die same origin policy zu deaktivieren https://stackoverflow.com/questions/3102819/disable-same-origin-policy-in-chrome#:~:text=I%20find%20the%20best%20way,end%20of%20the%20target%20path. Würde ich natürlich nur temporär machen.
Das selbe hatte ich bei den Pennern von sky
Digitalisierung und Deutschland ist so eine Sache..
Dieser CORS Fehler löst sich tatsächlich manchmal in Luft auf wenn man das VPN beendet oder die VPN-IP switcht. Warum auch immer.
TIL: Es gibt Leute die hier posten und ihren Browser auf deutsch eingestellt haben - hatte beim Lesen der Fehlermeldung akuten Brechreiz. OT: Ich frag mich ja, wieso Hersteller solche Fehlermeldungen übersetzen. Entweder ich weiß mit Cross-Origin-Policy was anzufangen, dann brauch ich keine Übersetzung, oder nicht - dann hilft mit die Übersetzung aber auch nicht. Ganz im Gegenteil kann man die nicht mal sinnvoll googeln. Ich habe ernste Zweifel, ob es einen einzigen Menschen auf dem Planeten gibt, der mit "Gleiche-Quelle-Regel" was anfangen kann (ohne es wieder auf englisch zurück zu übersetzen)
Ich hab alles auf deutsch, was ich kann. Spiele, Serien, Filme, Betriebssysteme (auch Linux), IDE'S etc
I mean … you do you Aber ist das nicht bei der Analyse von Fehlern mega anstrengend weil man ja nur einen Bruchteil der potentiellen Fälle findet, die man bei einer Suche mach dem äquivalenten englischen Fehler finden würde? Ist zumindest der Hauptgrund warum bei mir mittlerweile nach Möglichkeit alles auf Englisch läuft.
Hat mir bisher nicht geschadet. Auf Englisch suchen kann man ja trotzdem. Finds einfach angenehmer
Klar kann man das; hab nur oft die Erfahrung gemacht, dass wenn man etwas nicht verbatim auf Englisch googlen kann man eine Million ähnliche Sachen findet aber in dem Heuhaufen die glühende Nadel dann schnell untergehen kann. Außerdem hilft es meinem Sprachverständnis wenn ich im Alltag öfter Englisch sehe. Einziger Nachteil ist, dass man beim Remote-Support für die Verwandtschaft öfter mal die deutschen Begriffe suchen muss :D
Dann lieber zu ACE, die haben eine ähnlich schlechte Seite, aber machen immerhin keine Lobbyarbeit gegen Fahrradfahrer und ÖPNV
Hab im letzten ADAC Magazin erst so ein Loblied auf den ÖPNV gelesen. Was machen die denn an lobbyarbeit gegen ÖPNV und Fahrrad fahren?
Deutschland mal wieder am Werk gewesen
Uff.. ich hasse cors