Javascript set headers



  • Hallo,

    jeder professionelle Javascript Entwickler kennt bestimmt diese Meldung.

    xhr.setrequestheader refused to set unsafe header

    ja also aus Sicherheitsgründen darf man in Javascript keinen cookie header setzen. Soweit so gut. Jetzt bau ich aber gerade eine API. Und es ist unabdinglich einen Cookie header zu setzen, da die Session_id mitübertragen werden soll. Wie kann ich das nun machen ????? (Großes Fragezeichen)



  • wenn ich schon dabei bin. Weiss einer was "CSRF attacks" sind ??



  • Die CSFR-Frage kann dir Google, respektive Wikipedia, beantworten. Kurz gesagt: Cross Site Scripting. Das ist mit diversen Sicherheitsrisiken für Endanwender verbunden und sollte tunlichst unterlassen werden.

    Es stellt sich zunächst die Frage, ob es wirklich notwendig ist, solche Header per Javascript zu setzen. Gerade im Bereich API (kann die Anwendung, welche deine API nutzt, wirklich Javascript?) macht das keinen Sinn. Hier sind dynamische, serverseitige Skripte sinnvoller, wie z. B. PHP.



  • heini schrieb:

    Die CSFR-Frage kann dir Google, respektive Wikipedia, beantworten. Kurz gesagt: Cross Site Scripting. Das ist mit diversen Sicherheitsrisiken für Endanwender verbunden und sollte tunlichst unterlassen werden.

    CSFR hat meines Wissens nichts mit Cross Site Scripting zu tun. Bei CSFR geht es eher darum dass man irgendwo eingeloggt ist und dann etwas ungewünschtes ausführt.

    Es stellt sich zunächst die Frage, ob es wirklich notwendig ist, solche Header per Javascript zu setzen. Gerade im Bereich API (kann die Anwendung, welche deine API nutzt, wirklich Javascript?) macht das keinen Sinn. Hier sind dynamische, serverseitige Skripte sinnvoller, wie z. B. PHP.

    Die Anwendung ist nun mal in Javascript geschrieben und nun soll die API eingebunden werden. Und wie gesagt der header cookie kann nicht gesetzt werden aus dem Code heraus.


Log in to reply