Flag de cookie HttpOnly
O que é Flag de cookie HttpOnly?
Flag de cookie HttpOnlyAtributo de cookie que o esconde do JavaScript ao proibir o acesso via 'document.cookie', limitando o roubo de sessão quando há XSS.
O atributo 'HttpOnly' em 'Set-Cookie' marca o cookie como inacessível a scripts do lado do cliente. O navegador continua o anexando às requisições HTTP(S), mas 'document.cookie' e qualquer API DOM ou XHR não conseguem lê-lo ou alterá-lo. Para cookies de sessão e autenticação, 'HttpOnly' é essencial, pois bloqueia o ataque pós-XSS mais comum: capturar o cookie de sessão e reaproveitá-lo da máquina do atacante. Não previne XSS em si nem CSRF e deve ser combinado com 'Secure', 'SameSite', sessões curtas e uma CSP forte. Cookies que precisam ser lidos pelo front-end (por exemplo, tokens CSRF double-submit) omitem intencionalmente 'HttpOnly'.
● Exemplos
- 01
'Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/'.
- 02
Após um XSS, o payload do atacante não consegue extrair o cookie de sessão porque é HttpOnly.
● Perguntas frequentes
O que é Flag de cookie HttpOnly?
Atributo de cookie que o esconde do JavaScript ao proibir o acesso via 'document.cookie', limitando o roubo de sessão quando há XSS. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Flag de cookie HttpOnly?
Atributo de cookie que o esconde do JavaScript ao proibir o acesso via 'document.cookie', limitando o roubo de sessão quando há XSS.
Como se defender contra Flag de cookie HttpOnly?
As defesas contra Flag de cookie HttpOnly costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Flag de cookie HttpOnly?
Nomes alternativos comuns: Atributo HttpOnly.