セッションCookieのHTTP Only属性とSecure属性の違い - makicamelの日記先日セッションにまつわる言葉についてまとめましたが、ふと表題の件も理解が曖昧だなと気になったので調べてみました。 HTTP Only属性とは cookie のスコープ(参照・操作の権限)を HTTP リクエストに制限するもの CookieのSecure属性/HttpOnly属性の指摘と修正方法と脆弱性の解説 この「HTTPリクエスト」という言葉が引っかかって「Secure属性と何が違うの?🤔」となっていたのですが、ここでいうHTTPリクエストはスクリプトによるリクエスト(XMLHttpRequest)に対する言葉。http or httpsは関係ありません。 つまり、HTTP Only属性はスクリプトからCookieへのアクセスを禁止してくれる属性。 もっと具体的にはXSS脆弱性があった際もCookieの盗み出しを予防してくれるもの(ただし、リスクの低減には役立つものの、完全に防衛できる
