Ionic 中的 CSRF 具有多租户和多域 JHipster 后端
CSRF in Ionic with multi tenant and multiple domain JHipster backend
我有一个 JHipster 多租户后端,其中 tenant[.env].domain.ltd 之类的域启用了 csrf。
我们正在使用 Ionic 制作一个移动应用程序,这个应用程序可以存储多个租户的身份验证。
在此移动应用中,我们设置 <preference name="Hostname" value="domain.ltd" />.
如何处理csrf token?
后端向移动应用程序发送 .tenant[.env].domain.ltd 的 XSRF-TOKEN cookie,该 cookie 在客户端无法访问,因为域不匹配,因此客户端无法在中设置给定的令牌请求的 headers.
我们应该为移动应用程序禁用 csrf 吗?这样做的最佳方法是什么?如果它是唯一的解决方案,我们应该过滤哪个值以禁用 csrf?
好的,我终于成功了。在生成 xsrf 令牌 cookie 时,我只是测试请求是否来自移动应用程序。如果是这样,我将 cookie 域设置为 .domain.ltd。
我不确定的唯一一点是我应该确定它是移动请求的方式。我实际上使用 Origin header.
我有一个 JHipster 多租户后端,其中 tenant[.env].domain.ltd 之类的域启用了 csrf。
我们正在使用 Ionic 制作一个移动应用程序,这个应用程序可以存储多个租户的身份验证。
在此移动应用中,我们设置 <preference name="Hostname" value="domain.ltd" />.
如何处理csrf token?
后端向移动应用程序发送 .tenant[.env].domain.ltd 的 XSRF-TOKEN cookie,该 cookie 在客户端无法访问,因为域不匹配,因此客户端无法在中设置给定的令牌请求的 headers.
我们应该为移动应用程序禁用 csrf 吗?这样做的最佳方法是什么?如果它是唯一的解决方案,我们应该过滤哪个值以禁用 csrf?
好的,我终于成功了。在生成 xsrf 令牌 cookie 时,我只是测试请求是否来自移动应用程序。如果是这样,我将 cookie 域设置为 .domain.ltd。
我不确定的唯一一点是我应该确定它是移动请求的方式。我实际上使用 Origin header.