JWT 토큰

[seong-wooo]

• 헤더로 보낼 경우 문제
• XSS 공격, CSRF 공격을 받을 수 있다! 따라서 쿠키로 토큰을 보내야한다.

[great-park]

https://cjw-awdsd.tistory.com/48

[great-park]

Cookie도 LocalStorage랑 마찬가지로 XSS에 탈취당할 가능성이있다.

하지만 Cookie에는 HttpOnly라는 옵션이 존재하는데 이 옵션을 지정하면 Script에서 Cookie를 읽어올 수 없게한다. 이로인해 악의적인 Script에서 Cookie를 가져올 수 없기 때문에 XSS공격에 방어가 된다.

[great-park]

• JSESSIONID
  https://dmobi.tistory.com/136