https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#HttpOnly_Attribute
쿠키 속성 중에 http only라는것이 있단다.
javascript 레벨에서는 접근 못하는 쿠키란다.
그래서 이상한 javascript 심어서 쿠키 빼가는 공격은 막을 수 있단다.
그런데 어차피 쿠키는 네트워크에 평문으로 날아가는데...
그리고 브라우져 개발자툴에서는 여전히 볼 수도 편집할 수도 있다..
'SW-PRODUCT > 개발-웹닭·HTTP' 카테고리의 다른 글
| Spring validation - 2. @RequestBody (0) | 2014.12.24 |
|---|---|
| Spring validation - @ResponseBody (0) | 2014.12.23 |
| PUT 메소드에서의 application/x-www-form-urlencoded (0) | 2014.11.11 |
| [Spring] 하나의 TransactionManager에 여러 dataSource 담기!! (0) | 2014.02.28 |
| 초간단 웹서비스 띄우기 (0) | 2013.08.07 |