Quindi sto creando un servizio che sarà incorporato negli iframe e con viste web come JxBrowser, il sito padre sarà in grado di passare i dati di input privati con window.postMessage e ricevere gli eventi del messaggio di ritorno con i dati di output privati una volta che l'utente ha deciso di terminare la sessione.
Il servizio in sé non si collegherà mai a nessun database né avrà alcun cookie (potrebbe tuttavia avere un token JWT passato dalla pagina padre attraverso l'URL che il back-end del servizio può utilizzare come paywall) o memorizzare qualsiasi dato localmente (no localStorage e così via).
Può essere pensato come un editor di testo in cui si ottiene l'input iniziale, l'utente ci lavora per un po 'e poi restituisce l'output e l'iframe è chiuso.
Ora arriva la domanda, dal momento che considererei questa app "senza stato", gli unici dati a cui ha accesso sono i dati che vengono passati dalla pagina padre, sarebbe importante verificare le origini quando si inviano messaggi tra le due pagine?
Gli unici dati che l'app conoscerà sono i dati forniti più i nuovi dati inseriti manualmente dall'utente.
Devo prendere particolari considerazioni sul token JWT se voglio passarlo tramite l'URL?
Ho la sensazione che potrebbero esserci buone ragioni per cui mi sto perdendo qui, ma dato che non ci sono cookie / localStorage qui, quei problemi sono meno ovvi per me.