Drapeau de cookie HttpOnly
Qu'est-ce que Drapeau de cookie HttpOnly ?
Drapeau de cookie HttpOnlyAttribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.
L'attribut « HttpOnly » dans « Set-Cookie » marque le cookie comme inaccessible aux scripts côté client. Le navigateur continue de l'attacher aux requêtes HTTP(S), mais ni « document.cookie » ni aucune API DOM ou XHR ne peut le lire ou le modifier. Pour les cookies de session et d'authentification, « HttpOnly » est essentiel : il bloque l'attaque post-XSS la plus courante, à savoir la récupération du cookie de session puis sa rejeu depuis la machine de l'attaquant. Il ne prévient pas le XSS lui-même ni le CSRF et doit être combiné à « Secure », « SameSite », des sessions courtes et une CSP solide. Les cookies que le front-end doit lire (par ex. jetons CSRF double-submit) omettent volontairement « HttpOnly ».
● Exemples
- 01
« Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/ ».
- 02
Après un XSS, la charge utile de l'attaquant ne peut pas extraire le cookie de session car il est HttpOnly.
● Questions fréquentes
Qu'est-ce que Drapeau de cookie HttpOnly ?
Attribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Drapeau de cookie HttpOnly ?
Attribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.
Comment se défendre contre Drapeau de cookie HttpOnly ?
Les défenses contre Drapeau de cookie HttpOnly combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Drapeau de cookie HttpOnly ?
Noms alternatifs courants : Attribut HttpOnly.