Set-Cookie: HttpOnly
JavaScriptからCookieにアクセスすることを禁止する
document.cookie
でアクセスできなくなる
Session Hijacking
対策になる
#WIP
攻撃の例
HttpOnlyを上書きする攻撃
httponly属性がついている場合であっても、ブラウザによってはJSからdocument.cookieへの書き込みはできる
攻撃者があらかじめ用意したセッションを強制的に利用させることも可能
これマジ
#??
古いメモなのでどこに書いてあったかわすれた
mrsekut.icon