最近では、フロントエンドプロジェクトにサードパーティのJS依存関係を含めることは非常に一般的です。いくつかのReactJSコンポーネント。HTMLに含まれているJavaScriptライブラリは、自分のCookieセッションを使用して自分のサイトにリクエストを送信できますか?
他の依存関係にバンドルされ、自分のサーバーが提供する悪質なコードを防ぐことができるものはありますか?たとえば、簡単なAJAX呼び出しを行うことで自分のアカウントを削除しますか?
fetch("https://example.com/account", {
method: 'DELETE'
});
もしそうなら、クッキーを使用しないでください。
これは、バックエンドとフロントエンドの両方で、すべてのオープンソースライブラリの一般的な問題です。
攻撃者がフロントエンドに悪意のあるコードを追加する可能性がある場合、攻撃者はコードで実行できる処理をすべて行うことができます。だから、クッキーやjwtやその他の認証メカニズムはあまり関係ありません。攻撃者がバックチャネルを追加して制御を受ける可能性があります(http://beefproject.com/)
バックエンドのコードを使用すると、サーバーを侵害したり、データベースのすべてのコンテンツを盗んでしまう可能性があります。
これを念頭において、適切なライブラリを使用していることを確認して、徹底的に検証してください。人々はnpmで一般的なjavascriptライブラリのバックドバージョンを公開しています。例: https://www.theregister.co.uk/2017/08/02/typosquatting_npm/