クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。 本日お伝えしたいこと ・CookieのHttpOnly属性について説明します ・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します スクリプト等 https://github.com/ockeghem/web-sec-s... 目次 0:27 CookieとHttpOnly属性について 2:37 クロスサイトスクリプティング(XSS)攻撃をしてみる 3:04 クッキーにHttpOnly属性をつけてみる 4:18 CookieにHttpOnly属性をつけたらXSSの被害にあわない? 4:50 秘密情報がないページにXSSがあったら実害はない? 7:10 情報漏えいだけが問題? 11:28 まとめ ------------ ■EG セキュアソリューションズ株式会社  https://www.eg-secure.co.jp/ ■お仕事の依頼はこちらから  https://www.eg-secure.co.jp/contact/ ------------

Join Today
TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由
▶︎

TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由

Understand the principles of CORS and use it correctly
▶︎

Understand the principles of CORS and use it correctly

一人のプログラマーから日本を揺るがす大事件に!?「Winny事件」を狩野英考先生が熱く解説!!
▶︎

一人のプログラマーから日本を揺るがす大事件に!?「Winny事件」を狩野英考先生が熱く解説!!

Diese SCHWACHSTELLE haben wir alle UNTERSCHÄTZT
▶︎

Diese SCHWACHSTELLE haben wir alle UNTERSCHÄTZT

What Nobody Tells You About Being a Quant
▶︎

What Nobody Tells You About Being a Quant

[If you don't know, you're in danger] A thorough explanation of XSS techniques and countermeasures
▶︎

[If you don't know, you're in danger] A thorough explanation of XSS techniques and countermeasures

I Hacked This Temu Router. What I Found Should Be Illegal.
▶︎

I Hacked This Temu Router. What I Found Should Be Illegal.

XSSとセッションハイジャックを実際にやってみた【セキュリティ】
▶︎

XSSとセッションハイジャックを実際にやってみた【セキュリティ】

Netzwerkprotokolle erklärt: HTTP, FTP, SMTP & DNS 🚀 #3
▶︎

Netzwerkprotokolle erklärt: HTTP, FTP, SMTP & DNS 🚀 #3

[Introduction to HTTP] Explaining the process until a web page is displayed in a browser
▶︎

[Introduction to HTTP] Explaining the process until a web page is displayed in a browser

[Attention Business Owners!] Essential Security Basics for Non-Engineers / Security Risks of Vibe...
▶︎

[Attention Business Owners!] Essential Security Basics for Non-Engineers / Security Risks of Vibe...

Cookieとセッションってなに?ゼロからわかりやすく解説
▶︎

Cookieとセッションってなに?ゼロからわかりやすく解説

#78【サクッと学べる支援士対策】クロスサイトスクリプティング
▶︎

#78【サクッと学べる支援士対策】クロスサイトスクリプティング

【#12 サーバ証明書 オレオレ証明書で遊ぼう】セキュリティのお勉強
▶︎

【#12 サーバ証明書 オレオレ証明書で遊ぼう】セキュリティのお勉強

[Registered Information Security Specialist Course Preview] Testing the 3 Types of Cross-Site Scr...
▶︎

[Registered Information Security Specialist Course Preview] Testing the 3 Types of Cross-Site Scr...

Türkei – USA Highlights | Gruppe D, FIFA WM 2026 | sportstudio
▶︎

Türkei – USA Highlights | Gruppe D, FIFA WM 2026 | sportstudio

The Moment That Changed Software Development!
▶︎

The Moment That Changed Software Development!

HTTP Cookies Crash Course
▶︎

HTTP Cookies Crash Course

Aesthetic Aura Background 3 hours
▶︎

Aesthetic Aura Background 3 hours