C'è un ulteriore rischio nel passare il token di sessione nel corpo del messaggio?

Hai ragione nel presumere che non ci saranno ulteriori rischi nell'invio del token nel corpo quando lo stai già mandando nelle intestazioni. Mi chiedo perché è necessario inviare il token in due punti, ma per quanto riguarda il traffico sniffare non sarà più semplice per un utente malintenzionato leggere il traffico del corpo rispetto al traffico dell'intestazione. Se invii il traffico su HTTP anziché su HTTPS, sei vulnerabile a un uomo nell'attacco intermedio in ogni caso.

La mia ipotesi è che la tua app mobile sia html / javascript ... Il fatto che il tuo client possa inviare il token come parte del corpo POST implica che uno script (1) nella pagina legga il token dall'intestazione e quindi costruisce il POST o (2) il token è già presente da qualche parte sulla pagina (ad es. campo modulo nascosto) ed è quindi POSTATO. In entrambi i casi se hai una vulnerabilità XSS sulla pagina, un utente malintenzionato potrebbe rubare il token.

Il consiglio OWASP sui token di sessione consiste nell'utilizzare i cookie con l'attributo HttpOnly per impedire (1). Tieni presente che ciò significherà che il tuo codice lato client legittimo non sarà in grado di accedere al cookie per eseguire il POST. Prevenire (2) non sarebbe possibile nel caso in cui si abbia una vulnerabilità XSS che consente allo script di accedere all'elemento dom che rappresenta il token di sessione.