HttpOnly

브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)

분야: 보안/인증 시리즈: 인증/인가 기본기 cookiexssbrowsersecurity

HttpOnlySet-Cookie 속성으로, 브라우저의 JavaScript(document.cookie)에서 해당 쿠키를 읽지 못하게 막습니다.

왜 필요한가요?

  • XSS가 터졌을 때, 세션 쿠키가 JS로 탈취되는 위험을 줄입니다.
  • “XSS 자체를 막아주지는 않지만”, 피해 확산을 줄이는 안전장치가 됩니다.

예시

Set-Cookie: sid=...; HttpOnly; Secure; SameSite=Lax

같이 보면 좋은 문서

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
Cookie
브라우저가 서버에 자동으로 보내는 작은 상태 정보
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
HSTS
브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)
JWT
서명된 JSON 토큰 형식(JSON Web Token) — 인증에 자주 사용