JavaScript Fragen zur Same-Origin-Policy und XSRF

[Cheng]

Hallo zusammen,

wie der Titel schon sagt habe ich zwei Fragen zur Same-Origin-Policy und XSRF. Bei beidem bin ich mir nicht wirklich sicher.

Zur SOP Frage folgendes Szenario:

Website: https://www.foo.com
JS+CSS Files: https://static.foo.com

Wenn die Java-Script Datei von der Subdomain https://static.foo.com geladen wird und die Ajax Requests aber alle von https://www.foo.com an https://www.foo.com gerichtet sind, kommt es dann zu einem SOP Problem?


Zur XSRF Frage:

Ein XSRF Token steht im Quellcode der Website (JS Variable) und in der Session vom Besucher. Bei einem Ajax Request (GET/POST) wird der Token per Header übertragen und beim Laden des PHP Scripts überprüft (Token aus Header = Token aus Session). Das sollte doch als Absicherung ausreichen?


Gruß Cheng

 

[Falc410]

Nachdem gestern niemand geantwortet hat, kann ich dir mal meine Erfahrungen mitteilen. Ich bin da aber kein Experte.
Bei mir kam es in einem ähnlichen Szenario zu SOP Problemen, allerdings habe ich AJAX Anfragen an eine andere Domain geschickt (also nur die Subdomain war anders, wie bei dir). Allerdings hätte der Browser es zugelassen, nur der Server hat es geblockt. In dem Fall musste ich am Tomcat eine Einstellung vornehmen damit es geht.
Teste es einfach mit Chrome und blende die Developer Tools ein, dann siehst du alles.

Zu XSRF: Ich habe das selber nicht implementiert, aber das Django Framework macht es genau so. Du brauchst es allerdings nur bei einem POST (z.B. Form abschicken) und nicht bei einem GET zu überprüfen.