Web Security Lesson

徳丸浩のウェブセキュリティ講座

クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

No.33
難易度 ★★★☆☆

第33弾

クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。

本日お伝えしたいこと

  • CookieのHttpOnly属性について説明します
  • CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します

スクリプト等:https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie

動画:クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか