今さらだけどクッキーについてまとめメモ
setとgetの中身
サーバ → ブラウザ
以下をhttpヘッダーにセットしてレスポンス
Set-Cookie: key=value;・・・; domain=example.com; path=/; expire=xxx; Secure
ブラウザ → サーバー
Set-Cookieのdomain属性とpath属性とリクエストするurlが一致した場合に以下をhttpヘッダーにセットしてリクエスト
Cookie: key=value
セキュリティ
ここがわかりやすかった
・セッション固定脆弱性対策を行う。具体的には、ログイン成功後にセッションIDを振り直す
・Cookieには、外部から変更されると困る値は入れない
・Cookieに攻撃文字列を入れるタイプのXSSの影響を受けるので、攻撃経路がCookieだからという理由で許容してはいけない
まとめ、おまけ
盗聴は防げるけど改ざんは防げない。
クッキーをセット・ゲットする前に暗号化・複合化すればいたずらレベルの改ざんは防げる。
が、通信の途中での改ざんには対応しきれない
以上です