WebAPI

frontend
2022-10-10

Web Storage API

• sessionStorage
  • セッションを管理する, タブが閉じられるまで保管
  • max 5MB
• localStorage
  • 永続化されている
  • サーバーに送信はされない
  • JSから常にアクセス可能
    • XSS でのセッションハイジャックの可能性
    • HTML5のLocal Storageを使ってはいけない（翻訳）｜TechRacho by BPS株式会社

cookie

• サーバーがブラウザに送信するデータ
  • withCredentials=true で set-cookie 情報があるとブラウザがcookieにセットする
  • CSRF されるリスク
• document.cookie: 文字列
  • key=value, sep=;
• 属性
  • http-only attr: trueだとJSからアクセスできない
  • secure attr: httpsの時しかcookieが送信されない
  • sameSite attr: coの時にcookieを送るかを調整(strict, lax, none)
• 攻撃の対策
  • 傍受を防ぐために secure つけて, XSS防ぐために httpOnly

参考文献

• Web Storage API - Web API | MDN
• SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜 - Qiita