LaravelでCookieを利用する際には、デフォルトで、 `httpOnly` が `true` となるように設定されていると思います。 [symfonyのcookie生成のコンストラクタ](https://github.com/symfony/http-foundation/blob/master/Cookie.php#L96) しかし、CSRF対策のトークンに関してはこの `httpOnly` が `false` に設定されているようです。 [framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php](https://github.com/laravel/framework/blob/5.5/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L154-L166) これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて `false` となっていると思うのですが、このCSRFトークンのクッキーの `httpOnly` が `false` となっていることによるセキュリティリスクはありますでしょうか？なんとなく問題はなさそうな気はしているのですが、問題がない事の解説がもらえると助かります。逆にセキュリティ的に問題がある場合はその理由がわかるとありがたいです。よろしくお願いします。

LaravelのCSRFトークンのhttpOnly属性がfalseとなっている事によるセキュリティリスクの有無

LaravelでCookieを利用する際には、デフォルトで、 httpOnly が true となるように設定されていると思います。
symfonyのcookie生成のコンストラクタ

しかし、CSRF対策のトークンに関してはこの httpOnly が false に設定されているようです。
framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php

これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて false となっていると思うのですが、このCSRFトークンのクッキーの httpOnly が false となっていることによるセキュリティリスクはありますでしょうか？

なんとなく問題はなさそうな気はしているのですが、問題がない事の解説がもらえると助かります。
逆にセキュリティ的に問題がある場合はその理由がわかるとありがたいです。

よろしくお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

CSRFトークンは、もともとHTMLに埋め込むものなので、さらにCookieに持たせたからと言って、アクセスできなかったものができるようになることはありません。Cookieに入れなかったとしても、XSSでフェームから抜かれる危険性という意味では変わりません。

アプリケーションでHTMLフォームを定義する場合はいつでも、隠しCSRFトークンフィールドをフォームに埋め込み、CSRF保護ミドルウェアがリクエストの有効性をチェックできるようにしなければなりません。（Laravel 5.4のドキュメントより）

投稿2017/10/11 11:34

総合スコア146853

2017/10/12 03:05

なるほど！確かにその通りですね。なんだかマヌケな質問になってしまいました…。ありがとうございます！

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.29%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる