Best effort JavaScript

JavaScript amplifyed Efective Life.

Cookieを安全に扱うポイント

  • secure属性
    • httpsで通信時のみサーバーへの送信を許可する(httpでは送信出来ない)
  • httpOnly属性

この2つが特に重要なようです。
両方を有効にしていれば通信を傍受されても、 xss埋め込まれてもcookieの値は守れるという解釈で良いのでしょうか。

凄く昔のブラウザだとhttpOnly属性を無視してJSにcookie渡しちゃうやつもある、みたいな記述も見かけたので過信は禁物(`・ω・´)”

- 参考にさせて頂いた記事

weble.org

takuya-1st.hatenablog.jp