Table des matières:
Définition - Que signifie Secure Cookie?
Un cookie sécurisé, également appelé cookie httpOnly, est un type de cookie qui ne fonctionne qu'avec HTTP / HTTPS et ne fonctionne pas pour les langages de script comme JavaScript. Puisqu'il n'est utilisé que pour stocker des informations et utilisé pour des requêtes et des données de protocole de transfert hypertexte sur Internet, les exploits et les piratages effectués par script ne peuvent pas y accéder. Ainsi, le principal avantage d'un cookie sécurisé est qu'il peut arrêter le vol grâce à des scripts intersites (XSS).
Techopedia explique Secure Cookie
Un cookie sécurisé a toujours l'attribut sécurisé activé, il est donc utilisé principalement via HTTPS et transmis en toute sécurité avec des connexions cryptées. L'indicateur httpOnly dans l'en-tête du cookie sécurisé garantit que JavaScript ou toute méthode non HTTP ne peut pas accéder au cookie. Le cookie fonctionne grâce à l'aide de deux en-têtes: set-cookie et cookie. Le travail de l'en-tête set-cookie est de créer un cookie sécurisé sur le système de l'utilisateur en réponse à une requête http. Alors que l'en-tête du cookie fait partie de l'application avec une requête http envoyée au serveur pour valider s'il existe un cookie sécurisé qui correspond au domaine et au chemin demandé.
L'attribut sécurisé et l'indicateur httpOnly fonctionnent ensemble pour garantir que le navigateur est en mesure de restreindre l'accès aux données des cookies sécurisés à partir de scripts malveillants qui peuvent avoir infecté le navigateur ou le réseau. Cela atténue de nombreux dommages que de nombreuses attaques XSS peuvent causer, en particulier ceux qui ciblent les cookies.
