Herokuにデプロイするアプリを開発しています。このアプリはiframe別のサイトでのみ使用されているので、ドメイン名は気にしません。example.herokuapp.comでカスタムドメインを使用する代わりに、にアプリをデプロイする予定ですexample.com。
私のアプリはCookieを使用していますが、セッション固定や同様の攻撃からアプリを保護するために、他の人が私のCookieを操作できないようにしたいと思います。attacker.herokuapp.comのCookieを設定できる場合、はパブリックサフィックスではないためherokuapp.com、ブラウザは私を保護できません。この問題の詳細な説明については、http://w2spconf.com/2011/papers/session-integrity.pdfを参照してください。herokuapp.com
私の質問は、ブラウザがユーザーを保護できない場合、HerokuはCookieをブロックすることで保護しherokuapp.comますか?
Herokuアプリから応答ヘッダーを使用してCookieを追加しようとしましたSet-Cookie: name=value;Path=/;Domain=.herokuapp.comが、残念ながら、ブラウザーにヘッダーがそのまま表示されていました。そのため、Herokuインフラストラクチャは、このクロスアプリスーパーCookieを検出して削除しません。
クロスアプリのスーパーCookieからHerokuアプリを保護する方法は3つあります。
X-Forwarded-Forヘッダーを確認してクライアントのIPアドレスに制限します。Herokuへの私の機能要求は、インフラストラクチャでホストされているアプリケーションがでCookieを設定できないように、HTTPルーティングを通過するHTTP応答をフィルタリングする必要があることですDomain=herokuapp.com。
に Cookie を設定している限りexample.herokuapp.com、Cookie は操作されないように思えます。example.herokuapp.comCookie は、実行中のアプリと(アプリが実行されていない場所) にのみ提示されherokuapp.comます。