質問編集履歴
1
URLがリンクとなるように修正
title
CHANGED
File without changes
|
body
CHANGED
@@ -1,9 +1,8 @@
|
|
1
1
|
LaravelでCookieを利用する際には、デフォルトで、 `httpOnly` が `true` となるように設定されていると思います。
|
2
|
-
・symfonyのcookie生成のコンストラクタ
|
3
|
-
https://github.com/symfony/http-foundation/blob/master/Cookie.php#L96
|
2
|
+
[symfonyのcookie生成のコンストラクタ](https://github.com/symfony/http-foundation/blob/master/Cookie.php#L96)
|
4
3
|
|
5
4
|
しかし、CSRF対策のトークンに関してはこの `httpOnly` が `false` に設定されているようです。
|
6
|
-
https://github.com/laravel/framework/blob/5.5/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L154-L166
|
5
|
+
[framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php](https://github.com/laravel/framework/blob/5.5/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L154-L166)
|
7
6
|
|
8
7
|
これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて `false` となっていると思うのですが、このCSRFトークンのクッキーの `httpOnly` が `false` となっていることによるセキュリティリスクはありますでしょうか?
|
9
8
|
|