CookieのSecure属性とHttpOnly属性

405 Views

August 24, 13

スライド概要

2013/08/24 カスタムWeb勉強会 LT発表資料

profile-image

Web Application Developer / kintone CERTIFIED App Design Specialist 2020 / kintone CERTIFIED Customization Specialist 2020

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

CookieのSecure属性とHttpOnly属性 2013/08/24 第7回カスタムWeb勉強会発表資料 松尾 篤(株式会社エミック)

2.

HTTP Cookie • RFC 6265などで定義されたHTTPにおけ るウェブサーバとウェブブラウザ間で 状態を管理するプロトコル、またそこ で用いられるウェブブラウザに保存さ れた情報のことを指す。(Wikipediaよ り引用)

3.

Set-Cookieヘッダー • HTTPではSet-Cookieヘッダーを使用し てWebサーバーがWebブラウザーに Cookieを発行

4.

Cookieヘッダー • HTTPではCookieヘッダーを使用して WebブラウザーがWebサーバーにCookie を送信

5.

セキュリティ関連の属性 • Secure属性 • HttpOnly属性

6.

Secure属性 • Cookieにこの属性が設定されている場 合、WebブラウザーはHTTPSによる通 信時のみCookieをWebサーバーに送信 する

7.

HttpOnly属性 • Cookieにこの属性が設定されている場 合、Webブラウザーでクライアント側 のスクリプト(JavaScript等)経由で Cookieに保存されているデータを読み 出すことができなくなる

8.

まとめ • Secure属性とHttpOnly属性を使用する と、Cookieの盗難につながるクロスサ イトスクリプティングによる脅威を軽 減できる

9.

関連URL • http://ja.wikipedia.org/wiki/HTTP_cookie • http://tools.ietf.org/html/rfc6265