NT2 School complexe referer & nonce test

Een complexere referer check

Omdat bv. Chrome ivm. privacy alleen het domein als referer meegeeft ipv. de volledige pagina URL is het de vraag of het zinvol is om de referer link complexer te maken. Hieronder een idee.

Proof of concept

Test van een met referer check opties naar nt2school.nl

Klik maar op “De link!” (hierboven) 🙂

De link wordt gegenereerd door een stukje javascript in de lopende tekst van de pagina:
... van een <script src="//api.dkzr.nl/nt2school.js"></script> met ...

Zie ook https://api.dkzr.nl/nt2school.html

Hoe zou dit kunnen werken?

Eens doornemen met Freshbits. Zou dit haalbaar maar vooral veiliger zijn? Of veel moeite zonder relevant effect.

  • Klant publiceert geen link naar embed stuk javascript vanaf nt2school.nl
  • Javascript genereerd op basis van site-url (realtime) + nonce + nog wat een unieke url + link
  • NT2 School doet niet alleen referer chek maar ook url en nonce check
  • De URL kan door de nonce iig niet doorgestuurd worden oid.
  • Maar… kan geblockt worden door privacy settings browser (bv. Brave browser).