Node.js CORS oturum çerezi Angular.js ile

Question

COR ve Angular.js ile Node.js kullanarak basit bir giriş yapıyorum. olduğu

--- client.example.com başarısı üzerinde oturum tanımlama çok client.example.com döndürülür ve erişebilir bir POST çok api.example.com/login yapıyor de bir servis oturumu çerez tarafından korunan api.example.com/secret gibi GET.

Bir oturum çerezi tarafından korunmayan GET isteklerinin yapılması sorun değil.

Sonuçta, amaç burada çok authenticate a client side app to a REST api using CORS with a local stradegy --- yani kullanıcı adı & şifre --- bile isnt yukarıdaki kongre mümkünse.

Herhangi bir yerden öğrenmek için işe yarayan bir iş görülemez bulamıyorum - bana doğru yönde işaret mi?

Yardım: Bir çalışma örneğini gösterme.

Answer 1

Sorunlarınız çok basittir; tarayıcılar, bir etki alanında bulunan tanımlama bilgilerini farklı bir etki alanına gönderilmesine izin vermez.
Bu, güvenlik içindir. Oturum çerezinize herhangi bir alandan erişilebiliyorsa, herhangi bir site csrf gerçekleştirebilir (tanım gereği, ne istediğinizi csrf yapmaktır - oturumu farklı bir sitedeki bir siteden kullanın).

Etrafında bazı yollar vardır, ancak bunları uygularken dikkatli olmalısınız.

• kolay yolu giriş ve etki alanları arası istekleri yapmak JSONP kullanmaktır, jsonp temelde Çerezleri alanlar arası politikaları kırar.
  

• Sen api.example.com oturur client.example.com sayfa bir iFrame gömebilirsiniz, ebeveyn ve iFrame iletişim kurabilir post message kullanarak. Erişmeye client.example.com izin hangi bilgilerin ekstra dikkatli olmalıdır böylece

Her iki yol, (doğaları gereği) csrf isteklere açıktır.