flattsecurity https://blog.hatena.ne.jp/flattsecurity/ GMO Flatt Security Blog https://blog.flatt.tech/ この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。1... Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない / 2... しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fblog.flatt.tech%2Fentry%2Fauth0_access_token_poc" title="【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - GMO Flatt Security Blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/f/flattsecurity/20220809/20220809101157.png Hatena Blog https://hatena.blog 2022-08-09 10:30:00 rich https://blog.flatt.tech/entry/auth0_access_token_poc 1.0 100%