HTTPOnly, Secure với EXPRESS NODEJS - quan1997ap/angular-app-note GitHub Wiki

https://www.youtube.com/watch?v=LvlUsIwYLW4

HTTPOnly

  • Chỉ cho phép uesr lấy thông qua giao thức HTTP Online ( tạo bằng request http ).
  • Người dùng không thể lấy data bằng cách viết 'document.cookei' => Phòng tránh được XSS

image

image

Secure and HttpOnly Hai trường Secure hay HttpOnly đều không có giá trị xác định, nó được cho vào cookie để xác nhận cookie có sử dụng nó hay không.

Secure có tác dụng làm cho trình duyệt phải sử dụng kết nối secure/encrypted tức là kết nối bảo mật, được mã hóa. Tuy vậy, nó chỉ hoạt động khi server có sử dụng SSL(HTTPs). Tuy vậy, không nên truyền các thông tin bảo mật bằng Cookie vì cơ chế này vốn dĩ không an toàn và kể cả có Secure đi chăng nữa thì ko có nghĩa là thông tin nào cũng được mã hóa hoặc không thể truy cập bởi bên thứ 3.

HttpOnly có tác dụng làm cho cookie chỉ được thao tác bởi server mà không bị thao tác bởi các script phía người dùng.