質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

1回答

11451閲覧

LaravelのCSRFトークンのhttpOnly属性がfalseとなっている事によるセキュリティリスクの有無

botan

総合スコア13

Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

2クリップ

投稿2017/10/11 08:48

編集2017/10/11 08:50

LaravelでCookieを利用する際には、デフォルトで、 httpOnlytrue となるように設定されていると思います。
symfonyのcookie生成のコンストラクタ

しかし、CSRF対策のトークンに関してはこの httpOnlyfalse に設定されているようです。
framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php

これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて false となっていると思うのですが、このCSRFトークンのクッキーの httpOnlyfalse となっていることによるセキュリティリスクはありますでしょうか?

なんとなく問題はなさそうな気はしているのですが、問題がない事の解説がもらえると助かります。
逆にセキュリティ的に問題がある場合はその理由がわかるとありがたいです。

よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

CSRFトークンは、もともとHTMLに埋め込むものなので、さらにCookieに持たせたからと言って、アクセスできなかったものができるようになることはありません。Cookieに入れなかったとしても、XSSでフェームから抜かれる危険性という意味では変わりません。

アプリケーションでHTMLフォームを定義する場合はいつでも、隠しCSRFトークンフィールドをフォームに埋め込み、CSRF保護ミドルウェアがリクエストの有効性をチェックできるようにしなければなりません。(Laravel 5.4のドキュメントより)

投稿2017/10/11 11:34

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

botan

2017/10/12 03:05

なるほど!確かにその通りですね。 なんだかマヌケな質問になってしまいました…。ありがとうございます!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問