Проверяет понимание механизма безопасности HTTP-only Cookie, используемого для защиты сессионных данных от XSS-атак.
HTTP-only Cookie — это атрибут безопасности, который можно добавить к HTTP-куки. Когда куки помечены как HTTP-only, браузер запрещает доступ к ним из клиентского JavaScript (через document.cookie). Такие куки автоматически отправляются браузером только при HTTP-запросах к серверу, который их установил.
Основная цель — защита от межсайтового скриптинга (XSS). Если злоумышленник внедрит вредоносный скрипт на страницу, он не сможет прочитать HTTP-only куки, например, сессионный токен. Это значительно снижает риск угона сессии.
Сервер устанавливает куки с флагом HttpOnly в заголовке ответа:
Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=StrictПосле этого браузер хранит куки, но JavaScript не может их прочитать:
// Попытка прочитать куки из JS
console.log(document.cookie); // Выведет пустую строку или другие куки без HttpOnlyКуки всё равно отправляются с каждым запросом к серверу автоматически.
HTTP-only куки широко используются для хранения сессионных идентификаторов, токенов аутентификации и других конфиденциальных данных, которые не должны быть доступны клиентскому коду. Это стандартная практика в веб-разработке для повышения безопасности.
Используйте HTTP-only флаг для всех куки, содержащих чувствительные данные, особенно сессионные токены. Это обязательная мера защиты от XSS-атак, но не панацея — комбинируйте с другими механизмами безопасности, такими как Secure, SameSite и CSP.
Frontend developer
Ментор по Frontend
Полное сопровождение до оффера — без дорогих курсов, с оплатой после трудоустройства
Записаться на консультациюУровень
Рейтинг:
4
Сложность:
4
Навыки
JavaScript
HTML
Ключевые слова
Подпишись на React Developer в телеграм
Frontend developer
Ментор по Frontend
Полное сопровождение до оффера — без дорогих курсов, с оплатой после трудоустройства
Записаться на консультацию