今さらだけどクッキーについてまとめメモ

setとgetの中身

サーバ → ブラウザ
以下をhttpヘッダーにセットしてレスポンス

Set-Cookie: key=value;・・・; domain=example.com; path=/; expire=xxx; Secure

ブラウザ → サーバー
Set-Cookieのdomain属性とpath属性とリクエストするurlが一致した場合に以下をhttpヘッダーにセットしてリクエスト

Cookie: key=value

セキュリティ

ここがわかりやすかった

・セッション固定脆弱性対策を行う。具体的には、ログイン成功後にセッションIDを振り直す
Cookieには、外部から変更されると困る値は入れない
Cookieに攻撃文字列を入れるタイプのXSSの影響を受けるので、攻撃経路がCookieだからという理由で許容してはいけない


引用元:
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記

まとめ、おまけ

盗聴は防げるけど改ざんは防げない。
クッキーをセット・ゲットする前に暗号化・複合化すればいたずらレベルの改ざんは防げる。
が、通信の途中での改ざんには対応しきれない

以上です