回答編集履歴
1
httponly属性を付けてもXSS虚弱性があればcookieのトークンが読み取れるは間違い
answer
CHANGED
|
@@ -5,10 +5,6 @@
|
|
|
5
5
|
|
|
6
6
|
https://docs.microsoft.com/ja-jp/aspnet/core/security/cors?view=aspnetcore-5.0
|
|
7
7
|
|
|
8
|
-
元々、私がcookie認証を選んだのはhttponly属性を付けることで、jsからcookieは触れれないのでXSS虚弱性があった際のリスクが減るという理由でしたが、これは間違いでした。
|
|
9
|
-
|
|
10
|
-
https://www.youtube.com/watch?v=4JREwhSC2dQ
|
|
11
|
-
|
|
12
8
|
jwtはトークンが盗まれてしまった場合に、有効期限が切れるまでアクセスできてしまう懸念がありますが、CSRFの観点でいうと、asp.net coreではjwtを使うことがベストプラクティスであると考えたのでこちらをベストアンサーにさせていただきました。
|
|
13
9
|
|
|
14
10
|
※あくまで素人判断なので、認証関連を実装する際は必ずご自身で調べて下さい
|