HttpOnly-Cookie-Flag
Was ist HttpOnly-Cookie-Flag?
HttpOnly-Cookie-FlagCookie-Attribut, das den Zugriff über 'document.cookie' verbietet und so bei XSS den Diebstahl der Session deutlich erschwert.
Das Attribut 'HttpOnly' im 'Set-Cookie'-Header markiert ein Cookie als für clientseitige Skripte nicht zugänglich. Der Browser hängt es weiterhin an HTTP(S)-Requests an, doch 'document.cookie' und keine DOM- oder XHR-API können es lesen oder verändern. Für Session- und Authentifizierungs-Cookies ist 'HttpOnly' essenziell, da es den häufigsten Post-XSS-Angriff verhindert: das Abgreifen des Session-Cookies und Replay vom Angreifer-System. Es verhindert weder XSS noch CSRF und sollte mit 'Secure', 'SameSite', kurzen Session-Lebenszeiten und einer starken CSP kombiniert werden. Cookies, die das Frontend lesen muss (z. B. CSRF-Double-Submit-Tokens), lassen 'HttpOnly' bewusst weg.
● Beispiele
- 01
'Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/'.
- 02
Nach einem XSS kann das Angreifer-Payload das Session-Cookie nicht auslesen, weil es HttpOnly ist.
● Häufige Fragen
Was ist HttpOnly-Cookie-Flag?
Cookie-Attribut, das den Zugriff über 'document.cookie' verbietet und so bei XSS den Diebstahl der Session deutlich erschwert. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet HttpOnly-Cookie-Flag?
Cookie-Attribut, das den Zugriff über 'document.cookie' verbietet und so bei XSS den Diebstahl der Session deutlich erschwert.
Wie schützt man sich gegen HttpOnly-Cookie-Flag?
Schutzmaßnahmen gegen HttpOnly-Cookie-Flag kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HttpOnly-Cookie-Flag?
Übliche alternative Bezeichnungen: HttpOnly-Attribut.