¿Es seguro compartir un token CSRF entre aplicaciones de Rails?

0

Utilizamos un proxy inverso nginx para alojar dos aplicaciones Rails bajo el mismo dominio (un /path conduce a otra aplicación 'secundaria').

La aplicación 'secundaria' que vive bajo una ruta consume las API REST de la aplicación 'principal' en el dominio con una aplicación de página única de javascript.

Actualmente no tenemos OAuth o cualquier configuración "adecuada" para proteger esos puntos finales. Usan la misma cookie para determinar quién es el usuario, pero CSRF sigue siendo un problema (todavía no estamos en la dirección).

¿Puedo solicitar el servidor al servidor un token CSRF de forma segura desde la aplicación Rails 'principal' y proporcionárselo a mi aplicación secundaria de una sola página para que envíe junto con cada solicitud?

Me parece seguro y seguro hasta que podamos implementar OAuth o similar, pero no soy un experto en seguridad de ninguna manera.

example.com => provides API, app #1 example.com/special_path => routes to app #2, consumes app #1's API, uses same cookie to auth

    
pregunta Alex Mcp 17.08.2015 - 19:33
fuente

1 respuesta

1

Sí, no hay ningún problema con el uso del mismo token CSRF ya que ya está compartiendo el mismo token de autenticación.

Mientras el token se regenere por sesión nueva y tanto la API como la APP verifiquen que el token CSRF esté asociado con esa sesión en particular, esto debería mitigar el CSRF.

    
respondido por el SilverlightFox 17.08.2015 - 20:40
fuente

Lea otras preguntas en las etiquetas