Cookie.HttpOnly

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#HttpOnly_Attribute

쿠키 속성 중에 http only라는것이 있단다.

javascript 레벨에서는 접근 못하는 쿠키란다.

그래서 이상한 javascript 심어서 쿠키 빼가는 공격은 막을 수 있단다.

그런데 어차피 쿠키는 네트워크에 평문으로 날아가는데...

그리고 브라우져 개발자툴에서는 여전히 볼 수도 편집할 수도 있다..