HttpOnly Cookie

JavaScriptからアクセスできないクッキーの設定．

サーバー側でcookieいじれるのに、JavaScriptに対しては反応しないCookieだそうで、セキュリティ的には優れている模様．

Netflixでの実装例

code:javascript

//ログイン時

Set-Cookie: SecureNetflixId = v%3D2%26mac%3D...; HttpOnly; Secure; SameSite=Lax

//動画視聴時

Set-Cookie: playback_session=abc123; HttpOnly; Path=/watch

// ユーザー設定

Set-Cookie: user_prefs=lang%3Dja; HttpOnly