我想创建一个http服务处理程序,它将现有的auth会话cookie转换为令牌(即JSON Web令牌)。我是否应该关注XSS或任何其他漏洞,或者我是否只是默认禁用CORS的现代浏览器?
答案 0 :(得分:1)
如果没有关于用例的更多信息就很难分辨:它取决于JSON Web令牌中包含哪些信息,将发送给哪些客户端(例如,在不同的域中和/或由不同的实体控制) ,这些客户将如何使用它(例如通过https或不通过),以及客户端使用的内容(例如,它是作为用户还是作为一组受限制的权限)
另请注意,标准OAuth 2.0已经允许此方案:您可以利用现有的Web会话(即在code流程中)对授权服务器进行身份验证,并将令牌发送到OAuth 2.0客户端;正确实施OAuth 2.0规范可以防止上述漏洞
答案 1 :(得分:0)
如果我理解正确,您的服务处理程序只会将会话cookie值作为输入,然后将其输出为JSON?
在这种情况下,只要您使用标准的,经过测试和测试的JSON编码器,您就可以安全地使用XSS。 CSRF不应该是一个问题,因为您的方法是safe method,而Same Origin Policy会阻止您的Cookie被其他域读取,因为您没有选择加入CORS。