gpt4 book ai didi

auth0 - 在 Auth0 中使用 'localhost' 作为回调 URL 是否不安全?

转载 作者:行者123 更新时间:2023-12-05 00:13:05 24 4
gpt4 key购买 nike

我应该避免使用 http://localhost:3000作为 Auth0 中的回调 URL(特别是在 devstage 环境中)?

我知道使用 localhost url 的 POST http 请求存在攻击的可能性。但是,这是我需要为开发或舞台环境考虑的因素吗?

最佳答案

实际上是一个很好的问题,尽管实际上最好的答案是(常识)显而易见的答案。是的,使用 http://localhost 是个坏主意尽管便利性和实用性的权衡仍然使其成为经常使用的反模式。是的,在解释示例时甚至包括 Auth0 官方文档以保持简单易懂......

不幸的是,localhost 受到了很多方(包括 Web 浏览器)的特殊对待,因此避免它通常是一个好主意。以下是考虑避免使用的一些原因 localhost :

1)。您所有的流量都是未加密的 (http),因此嗅探您的凭据是微不足道的(不是特定于本地主机,而是def。如果您有机会引入 https,那么值得一提)。

2)。回调 localhost 是一个容易冲突的点,特别是在身份验证的启动和回调分开的地方。

3)。由于糟糕的部署实践,或(无意)无知,通常如果 localhost回调是在 DEV 环境中设置的,它们最终被粘贴到 PRD 环境中。也。

4)。如果您的两个应用程序都在本地主机上运行,​​即使端口不同,在本地测试 SSO 也会失败。

5)。依赖新的嵌入式登录co/authenticate端点(跨源流)在允许的 Web 源字段(通过管理 API 或仪表板设置)中不能有 localhost。见 here for more info - 您可以设置本地主机别名,在这种情况下,也可以将回调 url 更新为相同。

6). localhost 受到用户代理(包括 Web 浏览器)的“特别”关注,这可能会导致不必要的干扰(宽泛的说法,但确实如此)。

7)。 Auth0 现在支持 Custom Domains .如果您设置自定义域,请说 id.mysite.com然后在本地测试,你可以在你的主机文件中创建一个别名,例如。 app1.mysite.com - 在这种情况下,使用 mysite.com 是有意义的domain 在所有引用所涉及域的设置中,包括您的回调值。

总而言之,现实是你只在开发上工作,你必须完成你的工作。一个建议是而不是使用 localhost ,只需在本地主机文件中为 127.0.0.1 设置一个别名,例如。 127.0.0.1 app1.mysite.com .它不会避免上面列出的所有风险,包括 http 的使用。 ,但它会避免一些陷阱。除了说它使您更难猜测白名单允许的回调 url 列表中可能包含的内容之外,不会尝试捍卫其安全优势。

关于auth0 - 在 Auth0 中使用 'localhost' 作为回调 URL 是否不安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49183390/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com