Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備（同ドメイン内なら ...） - Qiita

テクノロジーカテゴリーの変更を依頼記事元:

qiita.com/github0013@github

50users がブックマークコメント

コメント

5

記事へのコメント5件

注目コメント
新着コメント

naga_sawa コメントでも指摘されているけれどもこの攻撃を成立させるにはドメインも乗っ取る必要があるような

2020/07/19 リンク

ockeghem 元動画が絶賛コメントに満ちているのを見て、ウェブが分かっていない人が多いのは洋の東西を問わないのだなとあらためて思った

2020/07/19 リンク

northlight 結論はcookie http only なら okなの？この辺、ベストプラクティスちゃんと出してほしいなあ…不確かな情報多すぎてわからない…

2020/07/20 リンク

ys0000 あとでみる。ブコメから察するに誇張らしいけど。

2020/07/20 リンク

ockeghem 元動画が絶賛コメントに満ちているのを見て、ウェブが分かっていない人が多いのは洋の東西を問わないのだなとあらためて思った

2020/07/19 リンク

stk132 chromeのSameSite属性のデフォルト値の変更があったばかりなのに、早とちりすぎでしょ。タイトルも修正しとけよ

2020/07/19 リンク

naga_sawa コメントでも指摘されているけれどもこの攻撃を成立させるにはドメインも乗っ取る必要があるような

2020/07/19 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備（同ドメイン内なら ...） - Qiita

tokenを保存する場所 localStorage cookie cookie (http only) メモリ内 (変数) よく言われるのが JWT t... tokenを保存する場所 localStorage cookie cookie (http only) メモリ内 (変数) よく言われるのが JWT tokenをlocalStorageに入れるべきではないということ。理由としてはJavascriptで簡単に読めてしまうので、XSSがあった場合意図しないスクリプトを動かされてしまい、結果としてtokenが盗まれるというもの。対応策として cookie (http only) を色んな所で推奨してる。 https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851 http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/ http://cryto.net/~joepie91/blog/2016/06/19/

ブックマークしたユーザー

peketamin2020/11/20
kattsuk22020/07/21
qnq7772020/07/20
hum_sorede2020/07/20
northlight2020/07/20
bongkura2020/07/20
d-nkt2020/07/20
ys00002020/07/20
dai09162020/07/19
writers-high2020/07/19
ockeghem2020/07/19
superblueplanet2020/07/19
msakamoto-sf2020/07/19
mstk_knife2020/07/19
alphabet_h2020/07/19
stokiwa2020/07/19
stk1322020/07/19
cojocco2020/07/19

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

いま人気の記事 - 企業メディア

企業メディアをもっと読む

設定を変更しましたx