Sommario:
Definizione - Che cosa significa Secure Cookie?
Un cookie sicuro, noto anche come httpOnly cookie, è un tipo di cookie che funziona solo con HTTP / HTTPS e non funziona con linguaggi di scripting come JavaScript. Poiché viene utilizzato solo per l'archiviazione delle informazioni e utilizzato per le richieste e i dati del protocollo di trasferimento ipertestuale su Internet, gli exploit e gli hack effettuati tramite script non sono in grado di accedervi. Quindi il vantaggio principale di un cookie sicuro è che può fermare il furto attraverso il cross-site scripting (XSS).
Techopedia spiega Secure Cookie
Un cookie sicuro ha sempre l'attributo sicuro attivato, quindi viene utilizzato principalmente tramite HTTPS e trasmesso in modo sicuro con connessioni crittografate. Il flag httpOnly nell'intestazione del cookie sicuro garantisce che JavaScript o eventuali metodi non HTTP non possano accedere al cookie. Il cookie funziona attraverso l'assistenza di due intestazioni: set-cookie e cookie. Il compito dell'intestazione set-cookie è quello di creare un cookie protetto sul sistema dell'utente in risposta a una richiesta http. Mentre l'intestazione del cookie fa parte dell'applicazione con una richiesta http inviata al server per convalidare se esiste un cookie sicuro che corrisponde al dominio e al percorso richiesti.
L'attributo sicuro e il flag httpOnly funzionano insieme per garantire che il browser sia in grado di limitare l'accesso ai dati dei cookie protetti da script dannosi che potrebbero aver infettato il browser o la rete. Questo mitiga molti dei danni che possono causare molti attacchi XSS, in particolare quelli che colpiscono i cookie.
