Usiamo un reverse proxy nginx per ospitare due app Rails nello stesso dominio (un /path porta a un'altra app 'secondaria').
L'app "secondaria" che vive sotto un percorso consuma API REST dall'app "principale" sul dominio con un'applicazione javascript a pagina singola.
Al momento non disponiamo di OAuth o di qualsiasi impostazione "corretta" per proteggere questi endpoint. Usano lo stesso cookie per determinare chi è l'utente, ma CSRF è ancora un problema (non siamo ancora in grado di farlo).
Posso tranquillamente richiedere al server di utilizzare un token CSRF dall'app per le "principali" Rails e fornire alla mia app di una singola pagina secondaria l'invio insieme a ciascuna richiesta?
Mi sembra sicuro e sicuro fino a quando non saremo in grado di implementare OAuth o simili, ma non sono un esperto di sicurezza con qualsiasi mezzo.
example.com => provides API, app #1
example.com/special_path => routes to app #2, consumes app #1's API, uses same cookie to auth