Сам, буквально неделю назад словил блокировку за приложение, которое вообще является просто фронтом к API на бэке (CRM-система), т.е. фактически приложение это просто клиент.
Не знаю конечно за что забанили автора, но мне конкретно написали «Issue: Violation of Usage of Android Advertising ID policy and section 4.8 of the Developer Distribution Agreement»
Немного погуглив понял, что надо просто выложить политику конфиденциальности на сайте, потому что вход в клиент осуществлялся по номеру телефона
Запилил политику на русском (по шаблону) и выложил на сайте
В гугле указал ссылку на политику и отправил на проверку, через пару часов приложение восстановилось
Раньше всё сидел на Highcharts, а тут пересел на AmCharts, функционал намного богаче, а тут еще и пришлось в AmCharts использовать функции получения цветов из D3 (цветовых схем), так вообще получилась сказка (а то клиента не устроили дефолтные цвета AmCharts)
Вот я и говорю, написано что надо избавиться от кук и перейти на header, как это сделать правильно, чтобы при наличии XSS токен не могли легко украсть.
А в принципе, раз в localstorage есть проблемы, тогда получается что если хранить токен в куках, а можно его с помощью либы github.com/js-cookie/js-cookie вытаскивать и отправлять в header, в таком виде всё гуд? Или я тут напридумывал непонятно что?
Наиболее кардинальный и работающий вариант защититься от CSRF-атак — это избавиться от куков и использовать header с токенами.
О, я как раз так и делаю, всё общение с сервером выполняется через API, при каждом запросе подставляется токен, который хранится в локальных хранилищах браузера (используется либа localForage), я правильно понимаю, что я молодец?
Почему намекнули про кардинальное решение, но не описали его поподробнее?
Сейчас для решения своих проблем копаюсь в интернете, и тут я вспомнил, а ведь есть такая штука как Crosswalk WebView Cordova Plugin (правда она для вас не подходит, а для меня в самый раз). Плагин тянет себе в apk свою версию хрома, увеличивая размер apk на 17 Мб, а размер установленного приложения на 50 Мб. Да крутой такой оверхед, но если задумываться о цене поиска и исправления всех будущих багов и глюков, то возможно можно и пожертвовать.
Хотя это такое себе решение, если все дружно так будут делать то общий оверхед зашкалит.
Возглас в пустоту: Ну почему тюнинговщики Андроида такие зас***цы и что-то там химичат со встроенным браузером (( Думаешь ну вот оно наступило счастье можно быстро и дешево делать приложения для мобильных устройств и тут такая подлянка.
Приложение часть функционала подгружает с сервера (чтобы обновления выкладывать оперативно, без магазина, ничего незаконного всё честно).
Непонятные глюки были на самсунгах (Android 6), приложение подгружало первый скрипт с сервера но не выполняла его, хотя стояло событие на выполнение кода после полной загрузки скрипта. Порешал поставив таймаут в 2 секунды перед запуском кода загруженного скрипта, проблема исчезла.
Теперь вот сяоми (Android 6) тоже странности, в процессе работы меняется карточка питомца и подгружаются данные выбранного, дак вот данные успешно загружаются но на страницу применяются частично (часть данных остается от прошлого). Еще в процессе решения.
При этом весь код без проблем работает на десктопе в браузере Хром, вообще никаких глюков.
Вот теперь из статьи узнал что оказывается Самсунг какой-то свой браузер делают вместо встроенного.
Я тоже первый раз такое узнал. Но если такое и было уже то я ведь не могу читать все ресурсы посвященные теме, я читаю на постоянно основе Хабр, и зачастую это для меня единственный сайт где я узнаю новинки.
Поддерживаю, но как писали выше похоже просто так исторически получилось, но и пример с комментариями phpDoc тоже правильный
P.S. это из-за кармы я не могу ссылки в комментах ставить?
1) ссылка на слово «выше»: http://habrahabr.ru/post/266903/#comment_8573493
2) ссылка на слово «пример»: http://habrahabr.ru/post/266903/#comment_8573843
Прочитав все комментарии и изучив тот ресурс с анализом сорцов гитхаба решил пересилить себя и перейти на пробелы вместо табов )) Все таки стандарт это хорошо и хочется уже писать полностью валидный PSR-2 код, чтобы вошло все это в привычку и в будущем не было уже никаких проблем.
Если я правильно понял, имеется ввиду отступы в примере, который в комментарии. Ну дак тут SmartTabs не поможет, но там как раз и смысл весь в том что табы для отступов от начала строки, а дальше уже только пробелы.
В этом примере согласно SmartTabs нужно делать пробелами отступы, да и вряд ли кто-то будет копировать этот код примера чтобы его использовать, ведь после копирования все равно останутся в начале строк знаки "*" от комментария.
Пост писался как раз чтобы попытаться разобраться почему именно пробелы выбрали авторы, а не табы.
Я понимаю, что стандарт это хорошо, но разброд и шатание не прекратятся до тех пор пока люди не поймут почему стоит писать именно так и никак иначе, ведь к другим пунктам стандарта претензий нет (например к пробелам перед и после открывающихся скобок).
А так идея про автоматическую конвертацию во время синхронизаций с сервером мне кажется все более отличной. Тут и не нужно переучиваться и при этом твой код в паблике соответствует стандарту. Как говорится и волки сыти и овцы целы )
P.S. судя по моей карме и рейтингу поста, разброд и шатание не собирается униматься )
Не знаю конечно за что забанили автора, но мне конкретно написали «Issue: Violation of Usage of Android Advertising ID policy and section 4.8 of the Developer Distribution Agreement»
Немного погуглив понял, что надо просто выложить политику конфиденциальности на сайте, потому что вход в клиент осуществлялся по номеру телефона
Запилил политику на русском (по шаблону) и выложил на сайте
В гугле указал ссылку на политику и отправил на проверку, через пару часов приложение восстановилось
Раньше всё сидел на Highcharts, а тут пересел на AmCharts, функционал намного богаче, а тут еще и пришлось в AmCharts использовать функции получения цветов из D3 (цветовых схем), так вообще получилась сказка (а то клиента не устроили дефолтные цвета AmCharts)
Вот я и говорю, написано что надо избавиться от кук и перейти на header, как это сделать правильно, чтобы при наличии XSS токен не могли легко украсть.
А в принципе, раз в localstorage есть проблемы, тогда получается что если хранить токен в куках, а можно его с помощью либы github.com/js-cookie/js-cookie вытаскивать и отправлять в header, в таком виде всё гуд? Или я тут напридумывал непонятно что?
О, я как раз так и делаю, всё общение с сервером выполняется через API, при каждом запросе подставляется токен, который хранится в локальных хранилищах браузера (используется либа localForage), я правильно понимаю, что я молодец?
Почему намекнули про кардинальное решение, но не описали его поподробнее?
Хотя это такое себе решение, если все дружно так будут делать то общий оверхед зашкалит.
Возглас в пустоту: Ну почему тюнинговщики Андроида такие зас***цы и что-то там химичат со встроенным браузером (( Думаешь ну вот оно наступило счастье можно быстро и дешево делать приложения для мобильных устройств и тут такая подлянка.
Приложение часть функционала подгружает с сервера (чтобы обновления выкладывать оперативно, без магазина, ничего незаконного всё честно).
Непонятные глюки были на самсунгах (Android 6), приложение подгружало первый скрипт с сервера но не выполняла его, хотя стояло событие на выполнение кода после полной загрузки скрипта. Порешал поставив таймаут в 2 секунды перед запуском кода загруженного скрипта, проблема исчезла.
Теперь вот сяоми (Android 6) тоже странности, в процессе работы меняется карточка питомца и подгружаются данные выбранного, дак вот данные успешно загружаются но на страницу применяются частично (часть данных остается от прошлого). Еще в процессе решения.
При этом весь код без проблем работает на десктопе в браузере Хром, вообще никаких глюков.
Вот теперь из статьи узнал что оказывается Самсунг какой-то свой браузер делают вместо встроенного.
P.S. В качестве фронта использую Framework7
Поделитесь пожалуйста этими галочками. Как раз намедни воевал с Самсунгами и тут раз и статья в тему.
P.S. это из-за кармы я не могу ссылки в комментах ставить?
1) ссылка на слово «выше»: http://habrahabr.ru/post/266903/#comment_8573493
2) ссылка на слово «пример»: http://habrahabr.ru/post/266903/#comment_8573843
http://sideeffect.kr/popularconvention
P.S. хм, ссылка не ставится нормально, придется копировать, извините.
В этом примере согласно SmartTabs нужно делать пробелами отступы, да и вряд ли кто-то будет копировать этот код примера чтобы его использовать, ведь после копирования все равно останутся в начале строк знаки "*" от комментария.
Я понимаю, что стандарт это хорошо, но разброд и шатание не прекратятся до тех пор пока люди не поймут почему стоит писать именно так и никак иначе, ведь к другим пунктам стандарта претензий нет (например к пробелам перед и после открывающихся скобок).
А так идея про автоматическую конвертацию во время синхронизаций с сервером мне кажется все более отличной. Тут и не нужно переучиваться и при этом твой код в паблике соответствует стандарту. Как говорится и волки сыти и овцы целы )
P.S. судя по моей карме и рейтингу поста, разброд и шатание не собирается униматься )