クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。 本日お伝えしたいこと ・CookieのHttpOnly属性について説明します ・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します スクリプト等 https://github.com/ockeghem/web-sec-s... 目次 0:27 CookieとHttpOnly属性について 2:37 クロスサイトスクリプティング(XSS)攻撃をしてみる 3:04 クッキーにHttpOnly属性をつけてみる 4:18 CookieにHttpOnly属性をつけたらXSSの被害にあわない? 4:50 秘密情報がないページにXSSがあったら実害はない? 7:10 情報漏えいだけが問題? 11:28 まとめ ------------ ■EG セキュアソリューションズ株式会社  https://www.eg-secure.co.jp/ ■お仕事の依頼はこちらから  https://www.eg-secure.co.jp/contact/ ------------