yshdyk11202000 のブックマーク / はてなブックマーク

yshdyk11202000 のブックマーク 2020/07/20 00:37

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4688743263917420930/comment/yshdyk11202000" data-user-id="yshdyk11202000" data-entry-url="https://b.hatena.ne.jp/entry/s/ockeghem.pageful.app/post/item/rsDYLUiG3OfWoNd" data-original-href="https://ockeghem.pageful.app/post/item/rsDYLUiG3OfWoNd" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fockeghem.pageful.app%2Fpost%2Fitem%2FrsDYLUiG3OfWoNd" data-user-icon="/users/yshdyk11202000/profile.png">XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読めなくても危険性には大差がないのでは？と思うのですが私の認識がおかしいでしょうか？ - ockeghem page</a><br><p style="clear: left"></p><a class="datetime" href="https://b.hatena.ne.jp/yshdyk11202000/20200720#bookmark-4688743263917420930"><span class="datetime-body">2020/07/20 00:37</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読めなくても危険性には大差がないのでは？と思うのですが私の認識がおかしいでしょうか？ - ockeghem page

ockeghem.pageful.app2020/07/19

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM

65 人がブックマーク・5 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

はてなブックマーク

公式Twitter

はてなのサービス