Supporto IT aziendale per richieste cross-domain lato client

Naviga le tue risposte
0

Ho un'API e un'applicazione web che esistono in diversi domini. Posso attivare CORS sull'API per consentire all'applicazione web di interfacciare il dominio incrociato dell'API.

Tuttavia è stato portato alla mia attenzione che alcune aziende, per motivi IT aziendali, sceglieranno di bloccare le richieste di domini incrociati dai loro browser installati per motivi di sicurezza. Se questo è il caso, è fuori dal mio controllo. Qualcuno può commentare questo? Qualcuno che ha lavorato nell'IT aziendale o che supportava le applicazioni Web da esso utilizzate ha riscontrato un problema simile in precedenza?

    
posta one stevy boi 06.05.2014 - 16:05
fonte

1 risposta

1

Direi che il tuo problema ha due siti:

POLITICA

Apparentemente il reparto InfoSec / ITSec della tua azienda ha deciso di bloccare per default le richieste di dominio di origine incrociata. Può essere in qualche modo giustificato razionalmente. Riduce al minimo il rischio di perdita di dati tra le applicazioni. Ho visto una volta un approccio simile, quindi la tua azienda non è l'unica.

TECNOLOGIA

Se non riesci a richiedere server tramite CORS puoi sempre proxyify il tuo traffico dal browser web tramite la tua app / server web. Non so quale sistema operativo usi, ma nel caso di Linux puoi provare ad usare Squid . L'ipotesi è che vi sia connettività tra l'app / server web e questo secondo server di dominio.

Squid (proxy in generale) non è difficile da configurare e funzionerà sicuramente. Tuttavia, è meglio consultare questa soluzione con la tua azienda / InfoSec / ITSec.

Spero di aver aiutato in qualche modo.

    
risposta data 07.05.2014 - 15:03
fonte

Leggi altre domande sui tag

Formato Vulnerabilità delle stringhe utilizzata per visualizzare i dati al di fuori del frame dello stack delle funzioni? OpenVPN e configurazione del firewall in LuCI