Vorrei fare una domanda sulla sicurezza nel caso di SignalR , una libreria per la comunicazione HTTP in tempo reale. Lo vedo come un livello di astrazione per web-socket con meccanismi di fallback nel caso in cui il browser (o il server o il firewall) non supporti i socket Web.
Quello che mi piacerebbe sapere è se la seguente procedura ha problemi di sicurezza (ad esempio, sessione di sequestro di sessione):
Dopo la procedura di autenticazione viene generato un token JWT il client imposta il token come proprietà stringa di stringa della connessione SignalR. Questo token viene quindi utilizzato per l'autenticazione di ogni richiesta sul lato server. La procedura è suggerita qui e qui .
In base alla documentazione fornita qui (vedi "Mitigazioni CSRF adottate da SignalR") ) SignalR utilizza la stringa di query già internamente per l'autenticazione all'interno della libreria.
La mia domanda è se è sicuro aggiungere il mio token JWT alla stringa della query e usarlo per l'autenticazione.