LaravelでCookieを利用する際には、デフォルトで、 httpOnly
が true
となるように設定されていると思います。
symfonyのcookie生成のコンストラクタ
しかし、CSRF対策のトークンに関してはこの httpOnly
が false
に設定されているようです。
framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php
これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて false
となっていると思うのですが、このCSRFトークンのクッキーの httpOnly
が false
となっていることによるセキュリティリスクはありますでしょうか?
なんとなく問題はなさそうな気はしているのですが、問題がない事の解説がもらえると助かります。
逆にセキュリティ的に問題がある場合はその理由がわかるとありがたいです。
よろしくお願いします。

回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/12 03:05