405 Views
August 24, 13
スライド概要
2013/08/24 カスタムWeb勉強会 LT発表資料
Web Application Developer / kintone CERTIFIED App Design Specialist 2020 / kintone CERTIFIED Customization Specialist 2020
CookieのSecure属性とHttpOnly属性 2013/08/24 第7回カスタムWeb勉強会発表資料 松尾 篤(株式会社エミック)
HTTP Cookie • RFC 6265などで定義されたHTTPにおけ るウェブサーバとウェブブラウザ間で 状態を管理するプロトコル、またそこ で用いられるウェブブラウザに保存さ れた情報のことを指す。(Wikipediaよ り引用)
Set-Cookieヘッダー • HTTPではSet-Cookieヘッダーを使用し てWebサーバーがWebブラウザーに Cookieを発行
Cookieヘッダー • HTTPではCookieヘッダーを使用して WebブラウザーがWebサーバーにCookie を送信
セキュリティ関連の属性 • Secure属性 • HttpOnly属性
Secure属性 • Cookieにこの属性が設定されている場 合、WebブラウザーはHTTPSによる通 信時のみCookieをWebサーバーに送信 する
HttpOnly属性 • Cookieにこの属性が設定されている場 合、Webブラウザーでクライアント側 のスクリプト(JavaScript等)経由で Cookieに保存されているデータを読み 出すことができなくなる
まとめ • Secure属性とHttpOnly属性を使用する と、Cookieの盗難につながるクロスサ イトスクリプティングによる脅威を軽 減できる
関連URL • http://ja.wikipedia.org/wiki/HTTP_cookie • http://tools.ietf.org/html/rfc6265