HttpOnly Cookie フラグ
HttpOnly Cookie フラグ とは何ですか?
HttpOnly Cookie フラグdocument.cookie からのアクセスを禁じて Cookie を JavaScript から隠す属性で、XSS が悪用された際のセッション窃取を抑止する。
Set-Cookie の「HttpOnly」属性はその Cookie をクライアントサイドスクリプトから不可視にします。ブラウザは引き続き HTTP(S) リクエストに付与しますが、document.cookie・DOM・XHR のいずれの API でも読み書きできません。セッション・認証 Cookie にとって HttpOnly は不可欠で、XSS 悪用後の典型的な攻撃である「セッション Cookie を窃取して攻撃者の端末から再送する」手口を阻止します。XSS そのものや CSRF を防ぐわけではないため、Secure・SameSite・短いセッション有効期間・強力な CSP と併用すべきです。フロントエンドが読み取る必要のある Cookie(例:CSRF ダブルサブミットトークン)では意図的に HttpOnly を省略します。
● 例
- 01
「Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/」。
- 02
XSS 発生後も、Cookie が HttpOnly のため攻撃者のペイロードはセッション Cookie を取得できない。
● よくある質問
HttpOnly Cookie フラグ とは何ですか?
document.cookie からのアクセスを禁じて Cookie を JavaScript から隠す属性で、XSS が悪用された際のセッション窃取を抑止する。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
HttpOnly Cookie フラグ とはどういう意味ですか?
document.cookie からのアクセスを禁じて Cookie を JavaScript から隠す属性で、XSS が悪用された際のセッション窃取を抑止する。
HttpOnly Cookie フラグ からどのように防御しますか?
HttpOnly Cookie フラグ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
HttpOnly Cookie フラグ の別名は何ですか?
一般的な別名: HttpOnly 属性。