Что такое HttpOnly cookie?

Что такое HttpOnly cookie?

HttpOnly — это атрибут cookie, который указывает браузеру запретить доступ к cookie через клиентские скрипты, такие как JavaScript. Это ключевой механизм защиты от межсайтового скриптинга (XSS), так как злоумышленник не сможет прочитать или украсть cookie, даже если внедрит вредоносный скрипт на страницу.

Как это работает?

Когда сервер устанавливает cookie с флагом HttpOnly, браузер сохраняет её, но делает недоступной для свойства document.cookie. При этом cookie по-прежнему отправляется на сервер с каждым HTTP-запросом к соответствующему домену. Это позволяет безопасно хранить сессионные идентификаторы и токены.

Пример установки HttpOnly cookie на сервере (Node.js с Express):

const express = require('express');
const app = express();

app.get('/login', (req, res) => {
  // Устанавливаем cookie с флагом HttpOnly
  res.cookie('sessionId', 'abc123', {
    httpOnly: true, // Запрещает доступ из JS
    secure: true,   // Только по HTTPS
    sameSite: 'strict' // Защита от CSRF
  });
  res.send('Cookie set');
});

app.listen(3000);

Где применяется?

• Хранение сессионных токенов (например, JWT) для аутентификации.
• Защита от XSS-атак, когда злоумышленник пытается украсть cookie через инъекцию скрипта.
• В комбинации с флагами Secure и SameSite для усиления безопасности.

Вывод

HttpOnly cookie — это обязательный инструмент для защиты конфиденциальных данных на клиенте. Его следует использовать для всех cookie, содержащих сессионные или аутентификационные данные, особенно в веб-приложениях, где возможны XSS-уязвимости.