クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。 本日お伝えしたいこと ・CookieのHttpOnly属性について説明します ・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します スクリプト等 https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie 目次 0:27 CookieとHttpOnly属性について 2:37 クロスサイトスクリプティング(XSS)攻撃をしてみる 3:04 クッキーにHttpOnly属性をつけてみる 4:18 Cookieに