CORS e proteção contra CSRF/XSS

Última edição:

Anton Pombev

CORS e proteção contra CSRF/XSS

A integração da web através da API não é apenas a conveniência, mas também uma potencial fonte de vulnerabilidade. Nós implementamos todo o suporte à CORS (Cross-Origin Resource Sharing), assim como os mecanismos de proteção contra a falsificação de pedidos entre jogos (CSRF) e a implementação de JavaScript maliciosos (XSS).

Estas medidas são particularmente importantes quando você trabalha com clientes de navegador, de frente, dashboards e integração de terceiros.

O que foi implementado

MecanismoDestino e benefício
Configurações CORSRestrição de acesso à API somente a partir de domínios confiáveis
tokens CSRFVerificar a legitimidade do POST/PUT do navegador
Cookie SameSiteBloqueio de cookies cruzados não autorizados
Filtragem XSSLimpar dados de entrada e proteger contra a implementação de script
Content Security Policy (CSP)Gerenciamento de fontes e recursos permitidos

Como funciona

1. As listas de fontes confiáveis são configuradas ('Access-Control-Allow-Origin')

2. Todas as solicitações são feitas por KORS preflight (OPÇÕES) com verificação de cabeçalhos

3. Para formulários - Aplica-se o token CSRF verificado no servidor

4. Todos os dados de entrada são filtrados e exibidos XSS

5. O CSP limita a execução de script apenas a partir de fontes permitidas

Vantagens para API e Frontand

Prevenir o roubo de dados e tokens através de sites de terceiros
  • Trabalhar com segurança com navegadores, SPA e integração de terceiros
  • Configuração flexível de domínios, métodos, cabeçalhos permitidos
  • Proteger sessões e autorizações contra falsificação ou captura
  • Aumentar a confiança dos usuários e auditores na sua API

Onde é particularmente importante

Aplicativos da Web que usam API do navegador
  • Dashboards, consultórios pessoais, adminks
  • Aplicativos SPA e Frontand em React, Vue, Angular
  • Plataformas com tocadores personalizados ou autorizados por cookies

CORS, CSRF e XSS são a base de segurança frontend para API. Oferecemos segurança e flexibilidade para garantir que as suas integrações não sejam apenas funcionais, mas também seguras.

Páginas SEO e lendagens para o cassino Telegram
Animação e interface no Telegram WebApp para casino
Gerenciamento de campanhas de bónus
Regulação de apostas, ganhos e transações no cassino Telegram
Notificações nos cassinos online: email, push e Telegram
Modo Sandbox para testes
Gerenciamento de usuários e transações em cassinos online
SLA e documentação de erros
Assinatura de acordos (API ademement, data sharing)

Temas populares

Temas principais

Contactar-nos

Preencha o formulário abaixo e responderemos o mais rapidamente possível.

Telefone:

+54 911 6827 4738

+357 95 595 767

E-mail:

info@jackcode.io

support@jackcode.io