Jes*_*sen 3 cookies heroku cross-domain
我正在开发一个应用程序,我将在Heroku上部署.该应用程序仅iframe在另一个站点上使用,因此我不关心域名.我计划部署我的应用程序,example.herokuapp.com而不是使用自定义域example.com.
我的应用程序使用cookie,我想确保其他人无法操纵我的cookie以保护我的应用程序免受会话固定和类似攻击.如果attacker.herokuapp.com能够设置cookie herokuapp.com,浏览器将无法保护我,因为herokuapp.com它不是公共后缀.有关该问题的详细说明,请参见http://w2spconf.com/2011/papers/session-integrity.pdf.
我的问题是:当浏览器无法保护我的用户时,Heroku会通过阻止cookie来实现herokuapp.com吗?
只是想像我一样为任何遇到此问题的人发布更新.我正在研究类似的问题,除了我想有目的地允许从两个不同的heroku应用程序访问相同的cookie.
"herokuapp.com"和"herokussl.com"现在位于" 公共后缀列表"中,因此如果为其中一个域设置了Cookie,则应该是安全的.我最终不得不使用自定义域,以便在两个应用程序之间共享Cookie.
Heroku还发布了一篇关于这个主题的文章:https://devcenter.heroku.com/articles/cookies-and-herokuapp-com
| 归档时间: |
|
| 查看次数: |
2064 次 |
| 最近记录: |