Comments 12
А причем тут telegram web apps? Статья ни о чём…
А как открыть консоль разработчика в WebBotе?
Это обычная демка на коленке, к чему вообще эта статья?
Правильно будет кумкват.
Можно узнать, какие домены на этом же ip. Например через 2ip.ru, и если есть боты, которых вы не хотите афишировать, держите их на другом ipip.
Оказывается, так работают все сайты! Удивительно, правда? Фронт просто стоит держать либо у себя и проксировать через Cloudflare, либо у того же Vercel.
Поэтому в ajax надо
1. передавать нужно только те данные, которые ввел пользователь. Цены, склады и прочее подставляйте в бэке. Если количество должно быть целым числом, то проверяйте, иначе бот пропустит 0.1 и выдаст счет на этот товар по 0.1 цене и доказывай потом, что это не глюк бота.
2. на стороне сервера проверять на SQL инъекции, XSS, препарируйте входящие данные.
И снова стандартные советы, причём тут вебаппы? Если уж говорить про них, то нельзя не упомянуть о проверке initData, как это говорит дока телеграма. Статья ни о чём.
Статья хорошая, это раз.
Челоевек старался это 2.
На статью не очень похоже, когда нам описывают картинки в духе "здесь мы видим..". Не придираюсь, просто как-то от публикации на Хабре ожидаешь больше технической части и какой-то ценной информации, а не текста, на 60%+ состоящим из "воды", не говоря про грамматику.
К примеру, можно было бы раскрыть подробнее тему и привести примеры для пунктов из "Поэтому в AJAX надо". Было бы всяко лучше.
Челоевек старался это 2.
Возможно. Даже если и так, то ради чего?
Очевидные советы для написания любого API и неважно, сайта, приложения, web apps в тг.
Даже если бы нельзя было посмотреть всё это через консоль разработчика, можно было бы просто отследить куда и какие запросы идут и без него
Безопасность Web Apps в Telegram ботах