我想创建一个http服务处理程序,将现有的身份验证会话cookie转换为令牌(即JSON Web令牌)。我应该担心XSS或任何其他漏洞,还是仅仅被默认禁用CORS的现代浏览器覆盖?
如果没有用例的更多信息,这很难说:这取决于JSON Web令牌中将包含哪些信息,将其发送给哪些客户端(例如,在不同的域中和/或由不同的实体控制),这些客户端将如何使用它(例如,是否通过https),以及客户端的用途(例如,它将作为用户还是在受限权限下使用)
也请注意,标准的OAuth 2.0已经允许这种情况:您可以利用现有的Web会话(即code流中的身份)针对授权服务器进行身份验证,并将令牌向下发送给OAuth 2.0客户端; OAuth 2.0规范的正确实现将可以防止上述漏洞
如果我理解正确,那么您的服务处理程序仅将会话cookie值作为输入,然后将其输出为JSON?
在那种情况下,只要您使用标准的,经过尝试和测试的JSON编码器,就可以防备XSS。 CSRF应该不是问题,因为您的方法是safe method,并且Same Origin Policy将阻止您的cookie被另一个域读取,因为您没有选择使用CORS。