Me gustaría hacer una pregunta sobre la seguridad en el caso de SignalR , una biblioteca para la comunicación HTTP en tiempo real. Lo veo como una capa de abstracción para sockets web con mecanismos de recuperación en caso de que el navegador (o servidor o firewall) no sea compatible con sockets web.
Lo que me gustaría saber es si el siguiente procedimiento tiene problemas de seguridad (por ejemplo, secuestro de sesión):
Después del procedimiento de autenticación, se genera un token JWT, el cliente establece el token como propiedad de cadena de consulta de la conexión SignalR. Este token se usa para la autenticación de cada solicitud en el lado del servidor. Se sugiere el procedimiento aquí y aquí .
De acuerdo con la documentación provista aquí (vea 'Mitigaciones CSRF tomadas por SignalR' ) SignalR usa la cadena de consulta ya internamente para la autenticación dentro de la biblioteca.
Mi pregunta es si es seguro agregar mi token JWT a la cadena de consulta y usarlo para la autenticación.