問題タブ [cookie-httponly]

バックエンドにAngularJSとSpringを使用してシングルページアプリを構築しています。バックエンドをステートレスにするために、最近 JWT (JSON Web Tokens) について調査しました。ここに混乱があります -

を。応答ヘッダーで JWT をクライアントに送信し、それを ngCookie を介して Cookie に保存する必要がありますか? はいの場合、XSS 攻撃をどのように処理できますか?

b. バックエンドで生成された Cookie で JWT を送信し、クライアント ブラウザーに Cookie を設定する必要がありますか?

c. JWT は安全ですか? (ちなみに、JWT は簡単にデコードできるので、https でアプリを実行します)

アプリを保護するためのより良い方法があれば、ぜひ教えてください。

ありがとうございました。

少しでも情報を共有してください。

環境 ：

1. Jbossを使用したLiferay 6.2

httponly とセキュアを実装しようとしています。

このために、以下のようないくつかの変更を行いました

Portal-ext.properties に追加:

と

ROOT.war/WEB-INF/web.xml に以下のプロパティを追加

LFR_SESSION_STATE_で始まるものを除いて、すべてのセッション Cookie が httponly であることがわかります。

これをどのように処理できるか、誰でも提案できますか。

私はこれらのパラメータを持つクッキーを持っています:

このコードを使用して、PHP を使用して Cookie を削除しようとしました。

しかし、私はまだそれを削除できません。PHPまたはJSを使用してこのタイプのCookieを削除する方法を知っている人はいますか?

サーバー側としてプレイフレームワークを使用したAngular js Webアプリケーションがあります。Google プラスのサインイン ボタンを使用してユーザーを認証しています。サーバー側ですべての ajax 呼び出しを認証する必要があります。ネットで入手可能なドキュメントを調べた後、それぞれについていくつかのオプションと質問があります。

フックアップ ポイント: Javascript Google サインインは、サインインに成功すると、javascript メソッドを呼び出します。コールバックとともに返される id_token は、ここで推奨されているように、サーバー側で再度検証する必要があります。したがって、サーバー側の呼び出しのこの時点で、上記のオプションを追加できます。

1. HttpOnly Cookie を使用し、各 ajax 呼び出しで確認します。これにより、CSRF 攻撃も防止できると確信できますか?
2. XSRF-TOKEN Cookie を設定しますが、HttpOnly = false として設定する必要があります。そうして初めて、angularjs はそれを読み取って、そこから発信されるすべてのリクエストで X-XSRF-TOKEN ヘッダーとして設定できるようになります。JavaScript で読み取り可能な Cookie を公開し、後でそれが安全であることを信頼するのは安全ですか?

クライアント側（javascript）に設定されたCookieは、それをhttpOnlyとしてマークしました。HttpOnly を使用している場所があれば、自分の Web サイトで使用されているすべての JS ファイルを検索しましたが、見つかりませんでした。他の何かが原因で、このフラグがデフォルトで true に設定されています。問題は何ですか？ここに数千行のコードすべてを投稿することはできないかもしれません..

セッションを使用して ASP.NET CORE でアプリケーションの状態を管理していますが、以下のように構成されています。

localhost で動作していますが、リモート IIS 8 では Cookie を作成していないため、値を取得できません。CORS も有効にしましたが、この問題の正確な原因がわかりません。ログにもエラーは表示されません。応答ヘッダーに Cookie が設定されていますが、ブラウザに設定されていません

ブラウザに設定された Cookie を取得できません。これは、Cookie ドメインに www を追加したときに発生しますが、その理由がわかりません。

問題の説明

ドメインmycompany.comがあり、アプリケーションは の下で実行されmycompany.com、別のアプリケーションは の下で実行されsubdomain.mycompany.comます。それらのそれぞれには、独自の Cookie、セキュア、および httpOnly があります。この Cookie がドメイン間で共有されることは望ましくありません。mycompany.comセットの Cookie のドメインは.mycompany.com. これの問題は、 にリークすることです。subdomain.mycompany.comそれを避けるために、ドメインを に変更しましたwww.mycompany.com。Apache 構成では、すべてのリクエストを https にリダイレクトmycompany.comしwww.mycompany.com、すべてのトラフィックを https にリダイレクトします。

そのため、 に移動したり、 に到達しmycompany.comたりwww.mycompany.comするwww.mycompany.comと、ドメインと Cookie ドメインが一致し、これは機能するはずですが、機能しません。の Cookiemycompany.comがローカル ストレージにありません (Chrome および Firefox)。（mycompany.comCookieドメインとしても使用してみましたが、予想通り、subdomain.mycompany.com使用したときと同じようにCookieがリークします.mycompany.com）

サーバーから返された Cookie は次のとおりです。

これについて読んで、問題はリダイレクトである可能性があると思いましたが、これは、またはに行くかどうかに関係なく発生しmycompamy.comますwww.mycompany.com。

私は何を間違っていますか？

PSservices.mycompany.com : Cookie は、mycompany.com で実行されているアプリケーションではなく、クライアントが Cookie を取得するために要求を送信する で実行されている別のプロセスによって生成されています。多分これが問題かもしれません。