1
「Remember me」クッキーは「httpOnly」クッキーに保存されているので、JavaScript/XSSではアクセスできません。ただし、「httpOnly」のCookieは、リクエストとともに自動的に送信されるため、CSRF攻撃に対して脆弱です。「Remember me」クッキーとCSRFプロテクションの保存
CSRF攻撃を緩和するには、同期トークンパターンを使用することをお勧めします(サーバーがcsrfトークンを生成し、クライアントとクロスチェックします)。
「私を覚えている」クッキーが利用可能な場合は、CSRF攻撃(悪質なJavaScript)がリクエストを行い、続いてサーバーから生成されたcsrfトークンを取得できますか?懸念されるのは、攻撃でクッキーとトークンがリクエストとともに送信された場合、アプリのセキュリティが侵害されていることです。 これが実際に可能であれば、どうすればこの問題を防ぐことができますか?