CookieのHttpOnly属性未設定について説明していきます。

■概要
HttpOnly属性は、Cookieに設定できる1つの属性であり、この属性が設定されている場合、JavaScriptからCookieにアクセスできなくなります。
これにより、悪意のあるスクリプトからのCookieの盗み取りを防ぎ、クロスサイトスクリプティング（XSS）攻撃の影響を軽減します。

■想定される被害
CookieのHttpOnly属性未設定によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・ユーザーのCookie情報を盗み取り、不正なアクセスやなりすましを行う

■対策
CookieのHttpOnly属性未設定の対策として挙げられるものは以下のようなものとなります。
・以下のようにSet-Cookie時にHttpOnly属性を付与する。
Set-Cookie: Cookie=Value; expires=Sun, 30 Nov 2023 12:00:00 UTC; path=/; HttpOnly

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　エラーメッセージによる情報露出 - 2024年10月31日
• 脆弱性の種類　脆弱なパスワードポリシー - 2024年8月31日
• 脆弱性の種類　機微情報の平文保存 - 2024年7月31日