Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CookieのSecure属性とHttpOnly属性

26,108 views

Published on

2013/08/24 カスタムWeb勉強会 LT発表資料

Published in: Technology
  • Be the first to comment

CookieのSecure属性とHttpOnly属性

  1. 1. CookieのSecure属性とHttpOnly属性 2013/08/24 第7回カスタムWeb勉強会発表資料 松尾 篤(株式会社エミック)
  2. 2. • RFC 6265などで定義されたHTTPにおけ るウェブサーバとウェブブラウザ間で 状態を管理するプロトコル、またそこ で用いられるウェブブラウザに保存さ れた情報のことを指す。(Wikipediaよ り引用) HTTP Cookie
  3. 3. • HTTPではSet-Cookieヘッダーを使用し てWebサーバーがWebブラウザーに Cookieを発行 Set-Cookieヘッダー
  4. 4. • HTTPではCookieヘッダーを使用して WebブラウザーがWebサーバーにCookie を送信 Cookieヘッダー
  5. 5. • Secure属性 • HttpOnly属性 セキュリティ関連の属性
  6. 6. • Cookieにこの属性が設定されている場 合、WebブラウザーはHTTPSによる通 信時のみCookieをWebサーバーに送信 する Secure属性
  7. 7. • Cookieにこの属性が設定されている場 合、Webブラウザーでクライアント側 のスクリプト(JavaScript等)経由で Cookieに保存されているデータを読み 出すことができなくなる HttpOnly属性
  8. 8. • Secure属性とHttpOnly属性を使用する と、Cookieの盗難につながるクロスサ イトスクリプティングによる脅威を軽 減できる まとめ
  9. 9. • http://ja.wikipedia.org/wiki/HTTP_cookie • http://tools.ietf.org/html/rfc6265 関連URL

×