回答編集履歴
1
httponly属性を付けてもXSS虚弱性があればcookieのトークンが読み取れるは間違い
test
CHANGED
|
@@ -12,14 +12,6 @@
|
|
|
12
12
|
|
|
13
13
|
|
|
14
14
|
|
|
15
|
-
元々、私がcookie認証を選んだのはhttponly属性を付けることで、jsからcookieは触れれないのでXSS虚弱性があった際のリスクが減るという理由でしたが、これは間違いでした。
|
|
16
|
-
|
|
17
|
-
|
|
18
|
-
|
|
19
|
-
https://www.youtube.com/watch?v=4JREwhSC2dQ
|
|
20
|
-
|
|
21
|
-
|
|
22
|
-
|
|
23
15
|
jwtはトークンが盗まれてしまった場合に、有効期限が切れるまでアクセスできてしまう懸念がありますが、CSRFの観点でいうと、asp.net coreではjwtを使うことがベストプラクティスであると考えたのでこちらをベストアンサーにさせていただきました。
|
|
24
16
|
|
|
25
17
|
|