Voltar ao PlanoACT-5.1.4
Corrigir CORS do AuthServer (SEC2-12)
2a Pass. ImediataAlta — esta semanaEsforco: PComplexidade: BaixaParalelizavel
Modulos Impactados
aspnet-core/src/cargo_fleet.AuthServer/cargo_fleetAuthServerModule.cs
Passos de Implementacao
- 1Adicionar leitura de `App:CorsOrigins` na configuracao do AuthServer (mesmo padrao da API)
- 2Substituir `builder.AllowAnyOrigin()` por `builder.WithOrigins(corsOrigins)` com fallback para ambiente de desenvolvimento
- 3Em producao, garantir que `App__CorsOrigins` no ConfigMap do AuthServer inclui `https://acesso.cargofleet.app.br`
- 4Testar login em homologacao antes de deploy em producao
AuthServer com `AllowAnyOrigin()` hardcoded em codigo sem condicional por ambiente. Mais grave que a API pois nao ha override por variavel de ambiente
Superficie de ataque ampliada no servidor de autenticacao, vetor para CSRF e token harvesting