hexlet-correction icon indicating copy to clipboard operation
hexlet-correction copied to clipboard

Published 20 hours ago verified publisher icon Hexlet

Добавить проверку хоста с которого выполняются запросы с виджета

Open fey opened this issue 11 months ago • 7 comments

Problem description

Сейчас у нас нет проверки на то, откуда идет запрос с виджета. можно отправлять хоть через апишку, хотя это не очень безопасно.

Proposed solution

Добавить возможность настраивать воркспейс - добавлять домены, откуда можно отправлять запросы с виджета. Это может быть несколько сайтов/доменов для одного воркспейса. Это позволит защитить замусоривание чужого воркспейса.

fey avatar Mar 11 '24 13:03 fey

https://habr.com/ru/companies/macloud/articles/553826/

fey avatar Mar 11 '24 13:03 fey

Возьму

bazilval avatar Apr 28 '24 22:04 bazilval

@fey привет, можем ли немного обсудить эту фичу?

Мы можем добавить CORS проверку на сервере, однако это не поможет нам с запросами через апишку, так как заголовок Origin можно вручную подделать. При этом токен любой желающий может достать из скрипта интеграции на странице. До какой степени мы будем пытаться защититься?

bazilval avatar May 10 '24 14:05 bazilval

@bazilval Ну мне кажется сейчас на 100% защититься не сможем. Например у Sentry тот же токен можно вытащить. Пока что просто настраиваем CORS

fey avatar May 13 '24 09:05 fey

@fey просто ты упомянул в ишью про апишку и я пока не вижу как можно защититься от таких запросов, только выдавать какие-то одноразовые токены на каждый запрос

по CORS сделаю, но это как-будто не особо страшно, сложно представить ситуацию, когда кто-то на страничку добавляет виджет с чужим URL и токеном, чтобы замусорить чужой воркспейс

bazilval avatar May 13 '24 12:05 bazilval

Нууу, как говорится это проблема будущих нас. Щас же и пользователей нет)

fey avatar May 13 '24 16:05 fey

Насчет апишки подумаем позднее.

fey avatar May 13 '24 16:05 fey

@fey closed

bazilval avatar Jun 15 '24 15:06 bazilval