쿠키의 HttpOnly 속성을 설정하면 어떤 보안 효과가 있나요?

쉬움 MDN Web Docs

보기 및 정답

A JavaScript의 document.cookie로 해당 쿠키에 접근할 수 없게 되어 XSS 공격으로부터 쿠키를 보호한다

B 쿠키가 HTTPS 프로토콜에서만 전송되어 네트워크 도청을 통한 세션 하이재킹을 방지하는 보안 효과가 있다

C 쿠키의 유효 기간이 무제한으로 설정되어 사용자가 브라우저를 닫아도 로그인 상태가 영구적으로 유지되고 자동으로 갱신되는 효과가 있다

D 다른 도메인에서도 쿠키에 자유롭게 접근할 수 있어 서드파티 서비스 연동이 용이해지는 보안 효과가 있다

HttpOnly 플래그가 설정된 쿠키는 HTTP 요청 시에만 자동 전송되고, JavaScript에서 읽을 수 없습니다. XSS 공격자가 스크립트로 세션 쿠키를 탈취하는 것을 방지합니다. Secure 플래그(HTTPS 전용)와 함께 사용하면 더 안전합니다.

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

로그인