Что такое HTTP-only куки?

HTTP-only куки — это тип кук, которые имеют флаг HttpOnly. Этот флаг запрещает доступ к куке из JavaScript через document.cookie.

Преимущества:

• Усиление безопасности: Защита от XSS-атак. Если злоумышленник сможет внедрить вредоносный JavaScript-код на страницу, он не сможет получить доступ к HTTP-only кукам с помощью document.cookie.

Недостатки:

• Ограниченный доступ из JavaScript: Невозможно чтение или изменение куки клиентским скриптом.

Применение:

Идеально подходит для хранения конфиденциальной информации, такой как идентификаторы сессий или токены. Браузер автоматически отправляет такую куку с каждым HTTP-запросом к серверу, но она не доступна на стороне клиента через JavaScript.

Установка HTTP-only куки на сервере (пример на Node.js с Express):

// Установка куки с флагом HttpOnly
res.cookie('sessionId', 'your_session_id', { httpOnly: true });