Successfully reported this slideshow.

CookieのSecure属性とHttpOnly属性

21,610 views

Published on

2013/08/24 カスタムWeb勉強会 LT発表資料

Published in: Technology
  • Be the first to comment

CookieのSecure属性とHttpOnly属性

  1. 1. CookieのSecure属性とHttpOnly属性 2013/08/24 第7回カスタムWeb勉強会発表資料 松尾 篤(株式会社エミック)
  2. 2. • RFC 6265などで定義されたHTTPにおけ るウェブサーバとウェブブラウザ間で 状態を管理するプロトコル、またそこ で用いられるウェブブラウザに保存さ れた情報のことを指す。(Wikipediaよ り引用) HTTP Cookie
  3. 3. • HTTPではSet-Cookieヘッダーを使用し てWebサーバーがWebブラウザーに Cookieを発行 Set-Cookieヘッダー
  4. 4. • HTTPではCookieヘッダーを使用して WebブラウザーがWebサーバーにCookie を送信 Cookieヘッダー
  5. 5. • Secure属性 • HttpOnly属性 セキュリティ関連の属性
  6. 6. • Cookieにこの属性が設定されている場 合、WebブラウザーはHTTPSによる通 信時のみCookieをWebサーバーに送信 する Secure属性
  7. 7. • Cookieにこの属性が設定されている場 合、Webブラウザーでクライアント側 のスクリプト(JavaScript等)経由で Cookieに保存されているデータを読み 出すことができなくなる HttpOnly属性
  8. 8. • Secure属性とHttpOnly属性を使用する と、Cookieの盗難につながるクロスサ イトスクリプティングによる脅威を軽 減できる まとめ
  9. 9. • http://ja.wikipedia.org/wiki/HTTP_cookie • http://tools.ietf.org/html/rfc6265 関連URL

×