4

Herokuにデプロイするアプリを開発しています。このアプリはiframe別のサイトでのみ使用されているので、ドメイン名は気にしません。example.herokuapp.comでカスタムドメインを使用する代わりに、にアプリをデプロイする予定ですexample.com

私のアプリはCookieを使用していますが、セッション固定や同様の攻撃からアプリを保護するために、他の人が私のCookieを操作できないようにしたいと思います。attacker.herokuapp.comのCookieを設定できる場合、はパブリックサフィックスではないためherokuapp.com、ブラウザは私を保護できません。この問題の詳細な説明については、http://w2spconf.com/2011/papers/session-integrity.pdfを参照してください。herokuapp.com

私の質問は、ブラウザがユーザーを保護できない場合、HerokuはCookieをブロックすることで保護しherokuapp.comますか?

4

3 に答える 3

1

Herokuアプリから応答ヘッダーを使用してCookieを追加しようとしましたSet-Cookie: name=value;Path=/;Domain=.herokuapp.comが、残念ながら、ブラウザーにヘッダーがそのまま表示されていました。そのため、Herokuインフラストラクチャは、このクロスアプリスーパーCookieを検出して削除しません。

クロスアプリのスーパーCookieからHerokuアプリを保護する方法は3つあります。

  • クッキーは一切使用しないでください。
  • カスタムドメインを使用します。
  • 各Cookieが実際にアプリによって設定されていることを確認し、X-Forwarded-Forヘッダーを確認してクライアントのIPアドレスに制限します。

Herokuへの私の機能要求は、インフラストラクチャでホストされているアプリケーションがでCookieを設定できないように、HTTPルーティングを通過するHTTP応答をフィルタリングする必要があることですDomain=herokuapp.com

于 2013-03-20T09:28:20.273 に答える
0

に Cookie を設定している限りexample.herokuapp.com、Cookie は操作されないように思えます。example.herokuapp.comCookie は、実行中のアプリと(アプリが実行されていない場所) にのみ提示されherokuapp.comます。

于 2013-03-20T17:53:24.997 に答える