[18] Cookie の HttpOnly 属性は、当該クッキーが
JavaScript から取得できず、 HTTP でのみ送信されるべきであることを表します。
[33] XSS などの脆弱性でセッションIDなど重要なクッキーが盗まれる危険性を下げるため、
JavaScript からアクセスできない HttpOnly
クッキーを用いることが極めて好ましいと考えられています。
近年のクッキーの用途のほとんどは HTTP からのみアクセスできれば十分でしょうから、
基本的にはこの属性は指定するべきでしょう。
[16] HttpOnly 属性はクッキーの適用範囲を HTTP
要求だけに限定します。 >>15
[17] HttpOnly 属性のついたクッキーは「非 HTTP」 API
からはアクセスできません >>15。 具体的には document.cookie
属性からこれを取得することはできません。
[23] document.cookie は「非HTTP」APIです >>22。つまり
HttpOnly クッキーは document.cookie
で取得できません。
[26] <meta http-equiv=Set-Cookie> は「非HTTP」API です >>25。
[29] HTTP Set-Cookie: / Cookie:
ヘッダーは、「非HTTP」APIではありません。
[28] WebSocket接続の確立時の Cookie:
ヘッダーは、「非HTTP」API ではありません >>27。
Set-Cookie: も同様と思われます。
HttpOnly 属性の構文httponly-av = "HttpOnly"
Set-Cookie: も参照。[9]
Mitigating Cross-site Scripting With HTTP-only Cookies (2007-01-18 14:03:44 +09:00 版) <http://msdn.microsoft.com/workshop/author/dhtml/httponly_cookies.asp>
[8]
httpOnly cookie flag support in PHP 5.2 - iBlog - Ilia Alshanetsky (2007-01-18 14:04:40 +09:00 版) <http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html>
[7]
Bug 178993 – MSIE-extension: HttpOnly cookie attribute for cross-site scripting vulnerability prevention (2007-01-18 14:05:01 +09:00 版) <https://bugzilla.mozilla.org/show_bug.cgi?id=178993>
[6] robubu » Blog Archive » HttpOnly please ( 版) <http://robubu.com/?p=15>
[2] HTTPOnly Fix In MSXML ha.ckers.org web application security lab ( 版) <http://ha.ckers.org/blog/20081111/httponly-fix-in-msxml/>
[3] Bug 380418 – XMLHttpRequest allows reading HTTPOnly cookies ( 版) <https://bugzilla.mozilla.org/show_bug.cgi?id=380418>
[4] (X)HTML5 Tracking ( 版) <http://html5.org/tools/web-apps-tracker?from=2516&to=2517>
[5] Scope of HTTPOnly Cookies ( 版) <http://docs.google.com/View?docid=dxxqgkd_0cvcqhsdw>
[12] HTTPOnly 属性の標準化のために ietf-httponly-wg
メイリング・リストが2008年秋に作られました。名前に「IETF」
と入っていますが、正式な IETF の WG ではありませんでした。
その後すぐに Cookie 全体の標準化の機運が高まり、 http-state
IETF WG に合流しました。
[1] ietf-httponly-wg | Google グループ ( 版) <http://groups.google.com/group/ietf-httponly-wg?pli=1>
This list has moved to IETF - ietf-httponly-wg | Google グループ ( 版) <http://groups.google.com/group/ietf-httponly-wg/browse_thread/thread/59186b46f47371a1>
[10] HTML5 は document.cookie 属性の規定のなかで、
「HTTPのみのクッキー」は返す値に含まないし、上書きすることもできないとしています。
ただし、注記 (参考) の中で、 HTML5 仕様書執筆時点で「HTTPのみのクッキー」
に関する仕様書は存在しておらず、何が「HTTPのみのクッキー」であるかは定義しない、
としています。その注記の中では一部 Webブラウザーで httponly 引数による
「HTTPのみのクッキー」の機能が実装されていることにも触れられています。
[11] mod_rewrite - Apache HTTP Server ( 版) <http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html#RewriteRule>
[30] Proposal for httpOnly cookies access via NPAPI ( 版) <https://mail.mozilla.org/pipermail/plugin-futures/2012-June/000525.html>
[31] Proposal for httpOnly cookies access via NPAPI ( 版) <https://mail.mozilla.org/pipermail/plugin-futures/2012-June/000526.html>
[32] NPAPI:HttpOnlyCookies - MozillaWiki ( 版) <https://wiki.mozilla.org/NPAPI:HttpOnlyCookies>
[34] (X)HTML5 Tracking ( 版) <http://html5.org/tools/web-apps-tracker?from=4639&to=4640>
Note: Internet Explorer (IE) provides access to HTTPonly cookies in plugins (See Microsoft API: InternetSetCookieEx and InternetGetCookieEx) . NPAPI-plugins should be on par.
[36] ChromeDriver は httpOnly を設定して Add Cookie
を実行しても、無視されて普通のクッキーになってしまいます。
[37] Clearly indicate that webdriver can access HttpOnly cookies (shs96c著, ) <https://github.com/w3c/webdriver/commit/73ae1efefb7c143c41e5ba521206d35aa4a22b24>
[38] "All associated cookies" must include http-only cookies. · Issue #971 · w3c/webdriver () <https://github.com/w3c/webdriver/issues/971>
[39] Clearly indicate that webdriver can access HttpOnly cookies by shs96c · Pull Request #994 · w3c/webdriver () <https://github.com/w3c/webdriver/pull/994>
[40] Actions required to mitigate Speculative Side-Channel Attack techniques - The Chromium Projects () <https://www.chromium.org/Home/chromium-security/ssca>
[41] Meltdown/Spectre | Web | Google Developers () <https://developers.google.com/web/updates/2018/02/meltdown-spectre>