¿Existe un riesgo adicional al pasar el token de sesión en el cuerpo del mensaje?

Tienes razón al suponer que no habrá ningún riesgo adicional al enviar el token en el cuerpo cuando ya lo estés enviando en los encabezados. Me pregunto por qué necesitaría enviar el token en dos lugares, pero en lo que respecta al rastreo del tráfico no será más fácil para un atacante leer el tráfico corporal que el tráfico de cabecera. Si está enviando el tráfico a través de HTTP en lugar de HTTPS, es vulnerable a un hombre en el medio del ataque de cualquier manera.

Mi suposición es que su aplicación móvil está basada en html / javascript ... El hecho de que su cliente pueda enviar el token como parte del cuerpo de POST implica que cualquiera de los scripts (1) en la página lee el token del encabezado y luego construye el POST o (2) el token ya está presente en algún lugar de la página (por ejemplo, el campo de formulario oculto) y luego se POSTED. En ambos casos, si tiene una vulnerabilidad XSS en la página, entonces un atacante podría robar el token.

Consejo de OWASP sobre tokens de sesión es usar cookies con el atributo HttpOnly para prevenir (1). Tenga en cuenta que esto significará que su propio código del lado del cliente legítimo no podrá acceder a la cookie para realizar el POST. Prevenir (2) no sería posible en el caso de que tenga una vulnerabilidad XSS que permita que el script acceda al elemento dom que representa el token de sesión.