JWTを使用してRESTAPIを保護する目的で、いくつかの資料(このガイドやこの質問など)によると、JWTはlocalStorageまたはCookieのいずれかに保存できます。。私の理解に基づく:
したがって、上記の前提に基づいて、JWTをCookieに保存するのが最善です。サーバーへのすべてのリクエストで、JWTはCookieから読み取られ、ベアラースキームを使用してAuthorizationヘッダーに追加されます。サーバーは、(Cookieから読み取るのではなく)リクエストヘッダーのJWTを確認できます。
私の理解は正しいですか?もしそうなら、上記のアプローチにはセキュリティ上の懸念がありますか?それとも、実際には、そもそもlocalStorageの使用をやめることができますか?
回答:
@ pkid169が述べた記事で言及されているXSRFダブルサブミットCookieメソッドが好きですが、記事で説明されていないことが1つあります。攻撃者が実行できるのは、CSRF Cookie(HttpOnlyではない)を読み取るスクリプトを挿入し、このCSRFトークンを使用してAPIエンドポイントの1つにリクエストを送信し、JWT Cookieが自動的に送信されるため、XSSから保護されません。
したがって、実際にはまだXSSの影響を受けやすく、攻撃者が後で使用するためにJWTトークンを盗むことはできませんが、XSSを使用してユーザーに代わってリクエストを行うことはできます。
JWTをlocalStorageに保存する場合でも、XSRFトークンをhttpのみではないCookieに保存する場合でも、どちらもXSSで簡単に取得できます。HttpOnly Cookie内のJWTでさえ、高度なXSS攻撃によって取得される可能性があります。
したがって、Cookieの二重送信方法に加えて、コンテンツのエスケープを含め、XSSに対するベストプラクティスに常に従う必要があります。これは、ブラウザが望まないことを実行する原因となる実行可能コードを削除することを意味します。通常、これは、JavaScriptが評価される原因となる// <![CDATA [タグとHTML属性を削除することを意味します。
Html.AntiForgeryToken()ASP.NET MVCのデフォルトの実装では、CSRFトークンにHttpOnlyCookieを使用します。あなたはまだ特定のXSSの影響を受けやすいと思いますが、これは言及する価値があると思いました。
Stormpathからのタイムリーな投稿、私のポイントをかなり詳しく説明し、私の質問に答えました。
JWTをCookieに保存してから、前述のようにすべてのリクエストでAuthorizationヘッダーにJWTを渡すか、記事が示唆しているように、バックエンドに依存してCSRFを防止します(xsrfTokenAngularの場合など)。
代わりに、ログイン時に、アクセストークンと更新トークンの2つのトークンを配信できます。アクセストークンはJavascriptメモリに保存し、更新トークンはHttpOnlyCookieに保存する必要があります。更新トークンは、新しいアクセストークンを作成するためにのみ使用されます。これ以上は使用されません。
ユーザーが新しいタブを開いたとき、またはサイトの更新時に、Cookieに保存されている更新トークンに基づいて新しいアクセストークンを作成するリクエストを実行する必要があります。
また、この記事を読むことを強くお勧めします:https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
secure、samesite: strict、http-only?
既存のCookieを利用するCSRF攻撃を防ぐために、SameSiteディレクティブを使用してCookieを設定できます。laxまたはに設定しstrictます。
これはまだドラフトであり、2019年現在、現在のすべてのブラウザで完全にサポートされているわけではありませんが、データの機密性やユーザーが使用するブラウザの制御によっては、実行可能なオプションになる場合があります。でディレクティブを設定SameSite=laxすると、「 'safe' ... HTTPメソッドを使用するトップレベルのナビゲーション」が可能になります。