murakmii on Nostr: jsからcookieセットする時ってHttpOnly使えないよね? ...
jsからcookieセットする時ってHttpOnly使えないよね?
使えないんだったら少なくともNostrクライアントの場合、CookieとlocalStorageでどちらの方がセキュアというのは無い気がする(むしろCookieって勝手にどっか送信されそうで不安)
jsから書いて読む以上、XSSがあったらどちらも致命傷を負うため...
Published at
2023-03-20 05:07:39Event JSON
{
"id": "c48e6da465ff46183655c365339f55b8ee0a27a219cdf1b08a1df483013fd874",
"pubkey": "18403a91191feb1a7bf09bd583e367002ab6528be867bdce1ffb63e08ed808c5",
"created_at": 1679288859,
"kind": 1,
"tags": [],
"content": "jsからcookieセットする時ってHttpOnly使えないよね?\n使えないんだったら少なくともNostrクライアントの場合、CookieとlocalStorageでどちらの方がセキュアというのは無い気がする(むしろCookieって勝手にどっか送信されそうで不安)\n\njsから書いて読む以上、XSSがあったらどちらも致命傷を負うため...",
"sig": "a15335742879b15b0f1ec8228b02277e2a32b638292707b86fe530026ce96372c2deda1bb590e95ebcb9c105689cdf151e420332cb9edca8c085b794f600ab76"
}