Protección CSRF y aplicaciones de una sola página alojadas en S3 (sin backend).

1

Tengo una aplicación web escrita en js que se ejecuta en AWS S3. No hay manera de inicializar un token CSRF seguro en la carga de la página, ya que no hay un servidor de fondo. El token se debe recuperar a través de una llamada AJAX a mi servidor API en un dominio diferente. La política de API CORS se incluye en la lista blanca para aceptar solicitudes de la aplicación js.

¿El token CSRF solicitado a través de ajax es seguro? ¿No pueden ser falsificados los encabezados de origen por alguien que quiera obtener un token CSRF válido? (El token es generado por Laravel)

    
pregunta zeros-and-ones 28.08.2018 - 01:45
fuente

0 respuestas

Lea otras preguntas en las etiquetas