トークンどこに保存すんの問題 - mtane0412

トークンどこに保存すんの問題

認証用トークン保存先の第4選択肢としての「Auth0」 - ログミーTech

実装超簡単

setItem, getItem

removeItem

XSSで簡単に盗めてしまう

HttpOnly属性をtrue

JavaScriptからのCookie操作を無効にできる

安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング：IPA 独立行政法人情報処理推進機構

HttpOnly属性は、ブラウザによって対応状況に差がある（*7）ため、全てのウェブサイト閲覧者に有効な対策ではありません。

ほぼ実用性なさそう

JWT周りについて理解するために読んだサイト