fey
commented
6 months ago Closed fey closed 3 months ago
fey
commented
6 months ago 
bazilval
commented
5 months ago Возьму
bazilval
commented
4 months ago @fey привет, можем ли немного обсудить эту фичу?
Мы можем добавить CORS проверку на сервере, однако это не поможет нам с запросами через апишку, так как заголовок Origin можно вручную подделать. При этом токен любой желающий может достать из скрипта интеграции на странице. До какой степени мы будем пытаться защититься?
fey
commented
4 months ago @bazilval Ну мне кажется сейчас на 100% защититься не сможем. Например у Sentry тот же токен можно вытащить. Пока что просто настраиваем CORS
bazilval
commented
4 months ago @fey просто ты упомянул в ишью про апишку и я пока не вижу как можно защититься от таких запросов, только выдавать какие-то одноразовые токены на каждый запрос
по CORS сделаю, но это как-будто не особо страшно, сложно представить ситуацию, когда кто-то на страничку добавляет виджет с чужим URL и токеном, чтобы замусорить чужой воркспейс
fey
commented
4 months ago Нууу, как говорится это проблема будущих нас. Щас же и пользователей нет)
fey
commented
4 months ago Насчет апишки подумаем позднее.
bazilval
commented
3 months ago @fey closed
Problem description
Сейчас у нас нет проверки на то, откуда идет запрос с виджета. можно отправлять хоть через апишку, хотя это не очень безопасно.
Proposed solution
Добавить возможность настраивать воркспейс - добавлять домены, откуда можно отправлять запросы с виджета. Это может быть несколько сайтов/доменов для одного воркспейса. Это позволит защитить замусоривание чужого воркспейса.