HttpOnly куки и с чем их едят

HttpOnly cookie — это такие куки, которые невозможно прочитать с помощью javascript, но доступные серверным скриптам, как и любые другие. Несмотря на то, что это совсем не новая технология (HttpOnly cookie появились 8 лет назад в IE6 SP1), далеко не все знают, почему их обязательно стоит использовать.

Зачем это нужно

Куки, недоступные из джаваскипта, помогут защитить от XSS-атак, как второй рубеж обороны от злоумышленников. Прокравшийся на страницу вредоносный код не сможет утащить пользовательские куки с помощью document.cookie.

Где это работает

Основная мысль: это работает во всех популярных и современных браузерах (IE6+, Firefox 2.0+, Chrome 1.0+, Opera 9.5+, Safari 4.0+) Подробнее можно ознакомиться на сайте browserscope (раздел Security).

HttpOnly cookie легко установить в php, django. Чтобы установить куки собственноручно через передачу заголовка ответа, достаточко добавить параметр ; HttpOnly

Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]

Демо



Подробно про HttpOnly cookie на сайте Open Web Application Security Project

Comments are closed.