同一ドメインの別ポートで公開されているページ上の JavaScript から WebAPI を実行します。
別ポートでホストされるページは第三者のページなので、CSRF が考えられます。
CSRF 対策としてトークンを二重送信する方式を使うことを考えています。
しかし Cookie はポートが異なっているだけでは共有されてしまいます (RFC6265) ので、
1.Cookie で TOKEN_xxxx(ポート番号) を受け取る。(JavaScriptから読み出せないようにするためhttponly)
2.JavaScript は事前に XHR でオリジンから CSRF トークンを受け取る。(レスポンスから取るのは事情があり別読み込み)
3.ホストはプリフライト(OPTIONS)にはエラーを返す。(クロスオリジンでは2のアクセスができなくなるという理解)
とすることを考えました。
ホストでは POST リクエストヘッダのトークンと、自ポートに対応した Cookie のトークンを突き合わせます。
WEBセキュリティは経験不足なので、これで良いのか不安です。
探検
スレ立てるまでもない質問はここで 152匹目
■ このスレッドは過去ログ倉庫に格納されています
325デフォルトの名無しさん
2020/01/13(月) 12:07:55.93ID:evkq1+YN■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 中国軍機レーダー照射、トランプ氏沈黙突く 試される日本外交 ★3 [蚤の市★]
- 元プロ野球選手・堂上隼人(43)を20代女性2人へのわいせつ未遂容疑で8回目の逮捕…これまでの被害者は10代・20代の女性11人に [Anonymous★]
- 中国軍機レーダー照射、トランプ氏沈黙突く 試される日本外交 ★4 [蚤の市★]
- 【高校野球】なぜ『7回制』は反対多数でも止まらないか… 高野連が「全員の命」守るために貫く伝統より改革の姿勢 [冬月記者★]
- JAが"政府の備蓄米買い上げ"見越して価格下げず!?「古いコメは食用向きでないなどと理由をつけ...」専門家解説 [煮卵★]
- 【テレビ】石破前首相 中国レーダー照射「フェーズ上がってる」と指摘も「日本の世論が激高するのは避ける必要が…」 [少考さん★]
- 【高市悲報】自衛隊「実は事前に現場海域で中国軍から空母での発着訓練をすると通告がありました」え…?😨 [931948549]
- 【悲報】山里亮太(南海キャンディーズ)さん [329329848]
- 統一教会っていらない田んぼ畑ビルディング(アスベスト)も引き取ってくれるの? [358382861]
- 【高市悲報】日本が🇨🇳輸出規制したフォトレジスト、早速韓国企業が中国に売り込みかけて日本の対抗手段もうなくなるwww [709039863]
- 中国父「日本の一般大衆は高市を支持しておらず、反対している人も多い。悪いのは日本国民ではなく高市!」 すまんこれほんと? [271912485]
- 高市「中国さんお願い電話で話そ、このままじゃ武力衝突になっちゃう😭」日中間の専用電話に日本側からかけるも無視される [931948549]