コンテンツにスキップ

Secure Cookie Implementation

説明

Cookieは、SecureHttpOnlyなどの適切なセキュリティ属性が設定されている場合、安全であると見なされます。

  • Secureフラグは、CookieがHTTPS経由でのみ送信されることを保証し、暗号化されていないチャネル経由での送信から保護します。
  • HttpOnlyフラグは、JavaScriptからCookieにアクセスできないようにすることで、クロスサイトスクリプティング(XSS)攻撃のリスクを軽減します。

  • SameSite属性は、Cookieがクロスサイトリクエストで送信されるかどうかを制御し、クロスサイトリクエストフォージェリ(CSRF)の防止に役立ちます。この属性は次の値に設定できます。

  • Strict: Cookieはクロスサイトリクエストでは送信されません。

  • Lax: Cookieはトップレベルのナビゲーションでは送信されますが、埋め込みリソースでは送信されません。

  • None: Cookieはすべてのリクエストで送信されますが、値がNoneの場合はSecureフラグが必要です。

  • ExpiresまたはMax-Age属性は、Cookieの寿命を定義し、意図したよりも長く残存しないようにします。

  • DomainおよびPath属性は、ドメインとURLパスに基づいてCookieが送信される場所を制限し、特定のサブドメインまたはパス内でのCookieの共有を制限できるようにします。

セキュアなCookie構成の例を次に示します。

http request Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

推奨事項

実装は安全であり、推奨事項は適用されません。

リンク