CookieのHttpOnly属性未設定について説明していきます。
■概要
HttpOnly属性は、Cookieに設定できる1つの属性であり、この属性が設定されている場合、JavaScriptからCookieにアクセスできなくなります。
これにより、悪意のあるスクリプトからのCookieの盗み取りを防ぎ、クロスサイトスクリプティング(XSS)攻撃の影響を軽減します。
■想定される被害
CookieのHttpOnly属性未設定によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・ユーザーのCookie情報を盗み取り、不正なアクセスやなりすましを行う
■対策
CookieのHttpOnly属性未設定の対策として挙げられるものは以下のようなものとなります。
・以下のようにSet-Cookie時にHttpOnly属性を付与する。
Set-Cookie: Cookie=Value; expires=Sun, 30 Nov 2023 12:00:00 UTC; path=/; HttpOnly
入会申込
ログイン
