La condivisione di un token CSRF tra le app Rails è sicuro?

0

Usiamo un reverse proxy nginx per ospitare due app Rails nello stesso dominio (un /path porta a un'altra app 'secondaria').

L'app "secondaria" che vive sotto un percorso consuma API REST dall'app "principale" sul dominio con un'applicazione javascript a pagina singola.

Al momento non disponiamo di OAuth o di qualsiasi impostazione "corretta" per proteggere questi endpoint. Usano lo stesso cookie per determinare chi è l'utente, ma CSRF è ancora un problema (non siamo ancora in grado di farlo).

Posso tranquillamente richiedere al server di utilizzare un token CSRF dall'app per le "principali" Rails e fornire alla mia app di una singola pagina secondaria l'invio insieme a ciascuna richiesta?

Mi sembra sicuro e sicuro fino a quando non saremo in grado di implementare OAuth o simili, ma non sono un esperto di sicurezza con qualsiasi mezzo.

example.com => provides API, app #1 example.com/special_path => routes to app #2, consumes app #1's API, uses same cookie to auth

    
posta Alex Mcp 17.08.2015 - 19:33
fonte

1 risposta

1

Sì, non c'è alcun problema con l'utilizzo dello stesso token CSRF poiché condivide già lo stesso token di autenticazione.

Finché il token viene rigenerato per nuova sessione e sia l'API che l'APP verificano che il token CSRF sia associato a quella particolare sessione, ciò dovrebbe mitigare CSRF.

    
risposta data 17.08.2015 - 20:40
fonte

Leggi altre domande sui tag