使用嵌入式JS(CORS + AJAX请求)跨域安全登录

时间:2016-02-20 15:19:22

标签: javascript ajax cors

  • 想象一下,我运行sso.com,一个用于登录的中心站点,启用了CORS的API
  • 我想在其他网域上运行20多个静态网站(例如由JekyllHugo生成),例如static1.orgstatic2.net
  • 可能并且是安全来呈现客户端"登录为X","转到我的仪表板&# 34; (等)在那些静态网站上?
    • 我想他们需要对sso.com执行跨域AJAX请求。
    • 这将检查cookie并获取经过身份验证的用户数据。
    • 然后可以将小部件放入静态页面。大多数情况下,这些小部件会链接到sso.com

我无法找到在实践中完成此方案的任何示例。那是因为它实际上是一个安全问题吗?我们是否需要对批准的CORS域名列表非常小心?

1 个答案:

答案 0 :(得分:1)

这听起来像是如何将数据提供给大型网站(Facebook,Google等)。

就安全性而言,只要您验证服务器端确保关键帐户操作(将内容保存到数据库,更改数据库)等等完成服务器端,那么你应该完全安全。

这里的关键是确保敏感数据由服务器处理而不是客户端。如果您牢记这一点,您可以考虑安全性来构建应用程序。此外,永远不会信任用户输入

我希望这有帮助!

相关问题
最新问题