امن کردن و محدودسازی دسترسی به cookie کوکی

می توان تضمین کرد که کوکی ها به طور امن ارسال می شوند و به صورت غیر مجاز در دسترس نیستند: صفت Secure و صفت HttpOnly.

کوکی با صفت Secure فقط بهمراه یک درخواست کدگزاری شده به سرور ارسال می شود. این کوکی بهمراه یک HTTP غیر امن هرگز ارسال نمی شود (به جز روی localhost) که یعنی حمله کننده ها نمی توانند به آسانی به آن دسترسی داشته باشند.

سایت های غیر امن (یعنی سایت هایی که در url از http: استفاده می کنند) نمی توانند کوکی ها را با صفت Secure مقداردهی کنند. البته، این طور فرض نکنید که Secure از همه دسترسی های به اطلاعات حساس در کوکی ها جلوگیری می کند. برای مثال شخصی که به هارد دیسک کلاینت دسترسی دارد (یا در صورتی که صفت HttpOnly ست نشده باشد به جاوا اسکریپت دسترسی دارد) می تواند اطلاعات را بخواند و تغییر دهد.

کوکی با صفت HttpOnly برای API مربوط به Document.cookie در جاوااسکریپت خارج از دسترس است، آن فقط به سرور ارسال می شود. برای مثال، کوکی هایی که در session های سمت سرور هستند نیازی نیست که در جاوااسکریپت در دسترس باشند و باید صفت HttpOnly داشته باشند. این احتیاط کمک می کند تا از حملات XSS گذر کنیم.

مثال:

Set-Cookie: id=a3fWa; Expires=Thu, 21 Oct 2021 07:28:00 GMT; Secure; HttpOnly