Оглавление:
Определение - Что означает Безопасный Cookie?
Безопасный cookie, также известный как httpOnly cookie, является типом cookie, который работает только с HTTP / HTTPS и не работает для языков сценариев, таких как JavaScript. Поскольку он используется только для хранения информации и используется для запросов и данных протокола передачи гипертекста через Интернет, эксплойты и хаки, сделанные с помощью сценариев, не могут получить к ним доступ. Таким образом, главное преимущество безопасного cookie - то, что он может остановить кражу через межсайтовый скриптинг (XSS).
Техопедия объясняет Secure Cookie
Безопасный файл cookie всегда имеет активированный атрибут безопасности, поэтому он используется в основном по протоколу HTTPS и надежно передается по зашифрованным соединениям. Флаг httpOnly в безопасном заголовке cookie гарантирует, что JavaScript или любые не-HTTP методы не смогут получить доступ к cookie. Файл cookie работает с помощью двух заголовков: set-cookie и cookie. Задача заголовка set-cookie заключается в создании защищенного cookie в системе пользователя в ответ на запрос http. В то время как заголовок cookie является частью приложения с запросом http, отправляемым на сервер, чтобы проверить, существует ли безопасный cookie, соответствующий запрашиваемому домену и пути.
Атрибут secure и флаг httpOnly работают вместе, чтобы гарантировать, что браузер может ограничить доступ к защищенным данным cookie из вредоносных скриптов, которые могли заразить браузер или сеть. Это уменьшает многие убытки, которые могут быть вызваны многими XSS-атаками, особенно те, которые нацелены на куки.
