在企业中,我们有几个Web应用程序。
- myapp.corp.com
- otherapp.corp.com
- oldapp.corp.com
OtherApp正在将其cookie(不正确地)范围限定为 corp.com 的父域。 这会导致其用户的浏览器将其应用程序的所有这些 cookie 发送到 myapp,因为它们都在 corp.com 范围内。
在某些情况下,OtherApp 在其 cookie 中设置了带有特殊字符的 cookie,从而导致 OldApp 的 cookie 解析错误。 就我而言,这是OldApp的一个错误,但它导致了几个有趣的问题。
如果他们最终设置了 50 个 4k cookie,我不希望由于范围不规范而将其包含在进入 MyApp 的流量中。 我已经玩弄了通过javascript强制过期他们的cookie的想法,作为一种核选项。
这给 OtherApp 带来了安全风险,也可能导致 MyApp 出现问题,但我不确定多久会采取任何措施来解决这个问题。 MyApp 是否有任何其他可行的编程方法可用于保护自己免受 OtherApp 范围不正确的 cookie 的侵害?
如果您真的处于企业环境中,那么 OtherApp 的所有者可能依赖于某些企业赞助商的资金/批准。找出哪位高管决定继续资助OtherApp,找出对他/她来说重要的事情,并提出你的理由。
高管有可能关心各种 KPI,例如正常运行时间。如果MyApp和OldApp对时间和/或金钱有直接影响,并且它们受到OtherApp问题的威胁,那么请提出该特定场景,并让该高管告诉OtherApp的所有者一起采取行动。