Q&A
LaravelでCookieを利用する際には、デフォルトで、 httpOnly が true となるように設定されていると思います。
symfonyのcookie生成のコンストラクタ
しかし、CSRF対策のトークンに関してはこの httpOnly が false に設定されているようです。
framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php
これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて false となっていると思うのですが、このCSRFトークンのクッキーの httpOnly が false となっていることによるセキュリティリスクはありますでしょうか?
なんとなく問題はなさそうな気はしているのですが、問題がない事の解説がもらえると助かります。
逆にセキュリティ的に問題がある場合はその理由がわかるとありがたいです。
よろしくお願いします。
回答1件
0
ベストアンサー
CSRFトークンは、もともとHTMLに埋め込むものなので、さらにCookieに持たせたからと言って、アクセスできなかったものができるようになることはありません。Cookieに入れなかったとしても、XSSでフェームから抜かれる危険性という意味では変わりません。
アプリケーションでHTMLフォームを定義する場合はいつでも、隠しCSRFトークンフィールドをフォームに埋め込み、CSRF保護ミドルウェアがリクエストの有効性をチェックできるようにしなければなりません。(Laravel 5.4のドキュメントより)
投稿2017/10/11 11:34
総合スコア146507
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/12 03:05