Нужно ли защищать токен?

Question

[Влад]

Подскажите пожалуйста, нужно ли как-то защищать токен в такой схеме?
Я создаю одностраничный сайт где есть кнопка "получить данные" и поле для токена.
И есть сторонний сервис с API, который выдает токен доступа. Этот токен нужно вставлять в Headers при каждом запросе.

Чтобы получить данные с этого сервиса, мой пользователь копирует выданный ему токен в поле на моем сайте. Я записываю этот токен в куки и шлю обычный фетч запрос на тот сервис с извлечением токена из кук пользователя.

Так для пользователя безопасно? Или нужно использовать какие-то флаги в запросе?

Answer 1

[0ffff0]

Вот тут имеется увлекательное чтение про HttpOnly флаги для защиты ваших токенов от XSS атак, SameSite и анти-CSRF токены.

Comments

[Влад]

Спасибо! Это ведь как я понял для тех кто сам выдает токены, то есть если этот API мой. Или нет?

[0ffff0]

Влад, почму только? Если у вас сторонний API, но вы хотите еще защиту ставить, вы должны знать какие виды атак бывают, и что обычно применяется