SPA приложение токен в куках и csrf
Добавлено: 2019.09.25, 10:40
Интересно мнение кто как делает и какие мыcли по этому поводу.
Допустиv решено хранить api токен в куках с http only и secure как более безопасный способ с точки зрения xss в сравнении с localstorage. В этом случае нужна защита от csrf. Решение в лоб это csrf куки без http only с последующей вставкой в заголовок запроса через javascript
Но так как куки в Yii дополнительно защищены просто использовать их для вставки в запрос не получится, нужен какой то другой способ передачи токена в SPA приложение.
Spa приложение отделено от бэкенда, заранее вставлять токен в мета теги нет возможности.
Какие видите варианты чтобы передать csrf токен?
Один из вариантов не шифровать csrf куки, как я знаю в Yii нет готовой реализации для этого. НЕ специалист по безопасности но кажется шифровать csrf куки нет смысла.
Допустиv решено хранить api токен в куках с http only и secure как более безопасный способ с точки зрения xss в сравнении с localstorage. В этом случае нужна защита от csrf. Решение в лоб это csrf куки без http only с последующей вставкой в заголовок запроса через javascript
Но так как куки в Yii дополнительно защищены просто использовать их для вставки в запрос не получится, нужен какой то другой способ передачи токена в SPA приложение.
Spa приложение отделено от бэкенда, заранее вставлять токен в мета теги нет возможности.
Какие видите варианты чтобы передать csrf токен?
Один из вариантов не шифровать csrf куки, как я знаю в Yii нет готовой реализации для этого. НЕ специалист по безопасности но кажется шифровать csrf куки нет смысла.