JWT 認証プラグインを備えた Kong API ゲートウェイを使用してサンプル アプリケーションを実装しています。
このスレッドで参照されているように、ブラウザに JWT を保存するには 2 つの方法があります。Web ストレージまたは Cookie。ただし、Web ストレージ (つまり、セッション ストレージとローカル ストレージ) は、クロスサイト スクリプティング攻撃 (XSS) に対して脆弱になる可能性があります。したがって、他のオプションはクッキーです。(CSRFは気をつけなければなりませんが)
質問が 2 つあります。
Web ストレージを使用して JWT を保存する場合、XSS を停止する方法はありますか。はいの場合、同じページが新しいタブで開いているか、同じページをリロードすると、どのように機能しますか?
Cookie の使用: リクエストで Cookie を送信できます。しかし、KONG は、JWT がヘッダー(
Authorisation: Bearer token) に設定されている場合にのみエンド ポイント URL を認証しており、Cookie を使用して認証していません。KONG API Gateway を使用して Cookie に設定されている JWT を確認する方法はありますか?