teratail header banner
teratail header banner
質問するログイン新規登録

質問編集履歴

1

URLがリンクとなるように修正

2017/10/11 08:50

投稿

botan
botan

スコア13

title CHANGED
File without changes
body CHANGED
@@ -1,9 +1,8 @@
1
1
  LaravelでCookieを利用する際には、デフォルトで、 `httpOnly` が `true` となるように設定されていると思います。
2
- ・symfonyのcookie生成のコンストラクタ
3
- https://github.com/symfony/http-foundation/blob/master/Cookie.php#L96
2
+ [symfonyのcookie生成のコンストラクタ](https://github.com/symfony/http-foundation/blob/master/Cookie.php#L96)
4
3
 
5
4
  しかし、CSRF対策のトークンに関してはこの `httpOnly` が `false` に設定されているようです。
6
- https://github.com/laravel/framework/blob/5.5/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L154-L166
5
+ [framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php](https://github.com/laravel/framework/blob/5.5/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L154-L166)
7
6
 
8
7
  これは、AngularなどのJSフレームワーク上からCSRFトークンを利用出来るようにあえて `false` となっていると思うのですが、このCSRFトークンのクッキーの `httpOnly` が `false` となっていることによるセキュリティリスクはありますでしょうか?
9
8