Voglio un'applicazione JavaScript di terze parti che abbia il proprio back-end per essere autenticato con il mio server delle applicazioni. L'applicazione viene avviata utilizzando un'API JavaScript in cui posso inviare i dettagli del mio server applicazioni come uno dei parametri compresi i cookie.
?
[Main-Server] - [Client] - [Third-Party]
| |
---------------------------
Quindi, ho pensato di condividere il cookie di sessione ma l'ho trovato
non possiamo accedere ai cookie HTTPOnly utilizzando l'API document.cookie .
Posso creare un URL che manda queste informazioni come risposta.
https://www.example.com/get_me_the_session_cookie
Ma sto creando la stessa vulnerabilità nella mia applicazione web che HTTPOnly sta cercando di impedire (gli script dannosi) di sfruttare correttamente? Devi solo conoscere l'URL per ottenere i dettagli della sessione.
È in contraddizione la ricerca di un server di applicazioni di terze parti gestito dal cliente all'autenticazione del server delle applicazioni principale, quando il server sta già facendo cose come l'impostazione di HTTPOnly per il cookie di sessione? Sembra che il server non voglia che il client faccia qualsiasi tipo di condivisione o creazione di sessioni programmatiche.
Mi è stato detto di un approccio basato su Open ID in cui il cliente può creare un cookie o un'intestazione Open ID e inviarlo all'applicazione di terze parti. Ma non è solo un modo elegante di condividere le sessioni? Sto solo generando una nuova sessione dal client e assegnandola all'applicazione di terze parti. Le soluzioni intercettando le intestazioni potrebbero comunque andare bene, ma queste sono vulnerabili?