Cookie の HttpOnly 属性について勘違いしていたこと - Qiita

2023/11/28 15 users Qiita XSS cookie 属性 手法

はじめに (本記事は初歩的な内容ですが、少なくとも僕は引っかかったので記事化したものです) Cookie に HttpOnly という属性があります。 この HttpOnly を設定することで JavaScript からの直接の参照・操作を禁止することによって、XSS などの手法によって悪意のある第三者から Cookie の内容を見られるのを防止する... 続きを読む

XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読

2020/07/19 22 users XSS localStorage cookie SPA API

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM 続きを読む

HTTP - クッキーを使用しないのであればHttpOnlyは必要ないのでしょうか？(72917)｜teratail

2017/04/26 13 users teratail http クッキー

853questions Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。 続きを読む