Flag de cookie HttpOnly
¿Qué es Flag de cookie HttpOnly?
Flag de cookie HttpOnlyAtributo de cookie que la oculta a JavaScript prohibiendo el acceso desde «document.cookie», limitando el robo de sesión cuando se explota XSS.
El atributo «HttpOnly» en «Set-Cookie» marca la cookie como inaccesible para scripts del lado del cliente. El navegador la sigue adjuntando a las solicitudes HTTP(S), pero ni «document.cookie» ni ninguna API DOM o XHR pueden leerla o modificarla. Para cookies de sesión y autenticación, «HttpOnly» es esencial porque impide el ataque post-XSS más habitual: capturar la cookie de sesión y reproducirla desde la máquina del atacante. No previene el XSS en sí ni el CSRF, y debe combinarse con «Secure», «SameSite», sesiones cortas y una CSP fuerte. Las cookies que necesite leer el front-end (por ejemplo, tokens CSRF en doble envío) omiten intencionadamente «HttpOnly».
● Ejemplos
- 01
«Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/».
- 02
Tras un XSS, el payload del atacante no puede extraer la cookie de sesión por ser HttpOnly.
● Preguntas frecuentes
¿Qué es Flag de cookie HttpOnly?
Atributo de cookie que la oculta a JavaScript prohibiendo el acceso desde «document.cookie», limitando el robo de sesión cuando se explota XSS. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Flag de cookie HttpOnly?
Atributo de cookie que la oculta a JavaScript prohibiendo el acceso desde «document.cookie», limitando el robo de sesión cuando se explota XSS.
¿Cómo defenderse de Flag de cookie HttpOnly?
Las defensas contra Flag de cookie HttpOnly combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Flag de cookie HttpOnly?
Nombres alternativos comunes: Atributo HttpOnly.