<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; "><div>Perhaps issuing different CSP headers for the different paths (with different policies) vs. only once then they hit your main index page.</div><div><br></div><div>-Ryan</div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> Ahamed Nafeez <<a href="mailto:ahamednafeez@gmail.com">ahamednafeez@gmail.com</a>><br><span style="font-weight:bold">Date: </span> Thursday, December 20, 2012 5:50 AM<br><span style="font-weight:bold">To: </span> <<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a>><br><span style="font-weight:bold">Subject: </span> [WEB SECURITY] Isolating web applications under the same domain name<br></div><div><br></div><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;"><div dir="ltr">Hi all,<div> I was just wondering how could we isolate different web applications under the same domain name. Say my domain name is '<a href="http://site.com">site.com</a>' and I have my main web application running under "<a href="http://site.com/default/">site.com/default/</a>" . And let's say that I have an use case where I need to run a blog, so I might have another web application like say 'WordPress' running under ''<a href="http://site.com/blog">site.com/blog</a>".</div><div><br></div><div style="">Now how can I isolate these two with respect to client side security. I'm already aware that according to the same-origin policy I can have my blog running under a different sub-domain like, <a href="http://blog.site.com">blog.site.com</a>.</div><div style="">But, let's assume that I don't get a chance to do that (isoalting based on different domain / sub-domains).</div><div style=""><br></div><div style="">One possible way is to set cookies with respect to path, but that can be eventually bypassed with an XSS in the vulnerable application by injecting the desired iFrame and reading from that.</div><div style=""><br></div><div style="">Is there a better way to isolate web applications under the same domain ?</div><div><div><br></div>-- <br>Cheers,<div>Nafeez</div><div><br></div></div></div>
_______________________________________________
The Web Security Mailing List

WebSecurity RSS Feed
<a href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a>

Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a>

WASC on Twitter
<a href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a>

<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a>
</blockquote></span></body></html>