Флаг куки HttpOnly
Что такое Флаг куки HttpOnly?
Флаг куки HttpOnlyАтрибут куки, скрывающий её от JavaScript за счёт запрета доступа через 'document.cookie' и снижающий риск кражи сессии при эксплуатации XSS.
Атрибут 'HttpOnly' в 'Set-Cookie' помечает куку как недоступную клиентским скриптам. Браузер по-прежнему отправляет её с HTTP(S)-запросами, но ни 'document.cookie', ни любые DOM/XHR API не могут её прочитать или изменить. Для сессионных и аутентификационных кук 'HttpOnly' критичен: он блокирует самый частый сценарий после XSS — кражу сессии и её повторную отправку с машины злоумышленника. Сам по себе он не предотвращает ни XSS, ни CSRF и должен сочетаться с 'Secure', 'SameSite', короткими временами жизни сессии и сильной CSP. Куки, которые должны читаться фронтендом (например, CSRF-токены double-submit), намеренно не получают 'HttpOnly'.
● Примеры
- 01
'Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Lax; Path=/'.
- 02
После XSS пейлоад злоумышленника не может извлечь сессионную куку, потому что она HttpOnly.
● Частые вопросы
Что такое Флаг куки HttpOnly?
Атрибут куки, скрывающий её от JavaScript за счёт запрета доступа через 'document.cookie' и снижающий риск кражи сессии при эксплуатации XSS. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Флаг куки HttpOnly?
Атрибут куки, скрывающий её от JavaScript за счёт запрета доступа через 'document.cookie' и снижающий риск кражи сессии при эксплуатации XSS.
Как защититься от Флаг куки HttpOnly?
Защита от Флаг куки HttpOnly обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Флаг куки HttpOnly?
Распространённые альтернативные названия: Атрибут HttpOnly.