1) Можно не использовать POST. Атаковать PUT, DELETE, PATCH невозможно без специальных условий.
2) «JS приложения обычно присылают XHR запросы с header (X-CSRF-Token), содержащим токен.». Если вы все равно требуете кастомный хедер от клиента, не проще ли просто принимать саму сессию в кастомном хедере, а не куки?
Производитель имеет право решать куда и что ему ставить. Если у меня диван от Икеа стоит в одной комнате, Икеа никакого права не имеет указывать мне, какой диван мне ставить в другой комнате.
>> Выходит, что я могу написать абсолютно любой аналог дефолтного софта и майкрософт обязана будет разрешить выпускать сборки с моим софтом по умолчанию вместо их софта?
Если смена дефолтного софта разрешена лицензией виндоус, то майкрософт не может запрещать производителям изменять набор дефолтного софта. Если не разрешено, то ничего вы не можете.
Не совсем. Если при подписании договора с гуглом на установку поиска на сайте xxx.com, гугл скажет, что на ваш сайт yyy.com нельзя ставить поиск от яндекса, вот тогда это будет основанием подать иск к Гугл.
>> Поменял бы гугл лицензию на свои разработки, де-факто запретив выпускать их со своими изменениями(как это делает майкрософт с windows) — тогда бы что Яндекс сказал?
Ну так пусть и меняет, если что-то не нравится. Вот только я сомневаюсь, что Android от этого выиграет. А то Google говорит, вот вам ОС, делайте что хотите, а внизу маленьким шрифтом «ну вообще-то не все».
В антимонопольном законодательстве логика обычных розничных продаж не подходит. Это как ньютоновская физика: пока на Земле все сходится, как только вышел в космос на околосветовые скорости, всё вообще по-другому.
А чего бояться? XSS? Ну если есть XSS, то у вас и так все плохо.
Слишком категорично. Есть методы попроще.
1) Можно не использовать POST. Атаковать PUT, DELETE, PATCH невозможно без специальных условий.
2) «JS приложения обычно присылают XHR запросы с header (X-CSRF-Token), содержащим токен.». Если вы все равно требуете кастомный хедер от клиента, не проще ли просто принимать саму сессию в кастомном хедере, а не куки?
Если смена дефолтного софта разрешена лицензией виндоус, то майкрософт не может запрещать производителям изменять набор дефолтного софта. Если не разрешено, то ничего вы не можете.
Ну так пусть и меняет, если что-то не нравится. Вот только я сомневаюсь, что Android от этого выиграет. А то Google говорит, вот вам ОС, делайте что хотите, а внизу маленьким шрифтом «ну вообще-то не все».
>> Вера в то что бога нет
Ну вот вы сами это написали. В чем разница с «верой в отсутсвие бога»?
Из условия необходимости достаточность не следует =)