Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 559

Drapeau de cookie HttpOnly

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Drapeau de cookie HttpOnly ?

Drapeau de cookie HttpOnlyAttribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.


L'attribut « HttpOnly » dans « Set-Cookie » marque le cookie comme inaccessible aux scripts côté client. Le navigateur continue de l'attacher aux requêtes HTTP(S), mais ni « document.cookie » ni aucune API DOM ou XHR ne peut le lire ou le modifier. Pour les cookies de session et d'authentification, « HttpOnly » est essentiel : il bloque l'attaque post-XSS la plus courante, à savoir la récupération du cookie de session puis sa rejeu depuis la machine de l'attaquant. Il ne prévient pas le XSS lui-même ni le CSRF et doit être combiné à « Secure », « SameSite », des sessions courtes et une CSP solide. Les cookies que le front-end doit lire (par ex. jetons CSRF double-submit) omettent volontairement « HttpOnly ».

Exemples

  1. 01

    « Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/ ».

  2. 02

    Après un XSS, la charge utile de l'attaquant ne peut pas extraire le cookie de session car il est HttpOnly.

Questions fréquentes

Qu'est-ce que Drapeau de cookie HttpOnly ?

Attribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie Drapeau de cookie HttpOnly ?

Attribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.

Comment se défendre contre Drapeau de cookie HttpOnly ?

Les défenses contre Drapeau de cookie HttpOnly combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Drapeau de cookie HttpOnly ?

Noms alternatifs courants : Attribut HttpOnly.

Termes liés

Voir aussi