Ce este HttpOnly (atribut cookie)?

Atributul care impiedica accesul JavaScript la un cookie

Definiție HttpOnly (atribut cookie)

HttpOnly este un atribut de securitate al cookie-urilor care impiedica accesul din JavaScript (document.cookie). Cookie-urile cu HttpOnly pot fi trimise doar in cereri HTTP catre server. Este esential pentru cookie-urile de sesiune — fara el, un atac XSS ar putea fura sesiunea utilizatorului.

De ce contează HttpOnly (atribut cookie)

Flag-ul HttpOnly face un cookie inaccesibil pentru JavaScript prin document.cookie, eliminand vectorul principal de furt al sesiunii prin atacuri XSS (Cross-Site Scripting). Fara HttpOnly, un singur script malitios injectat in pagina poate citi cookie-ul de sesiune si il poate trimite unui server extern in milisecunde. Conform OWASP Top 10 2021, XSS ramane pe locul 3 ca frecventa de exploatare.

Cum verifici HttpOnly (atribut cookie)

Analiza SoftAudit examineaza fiecare cookie setat de site si verifica prezenta flag-ului HttpOnly pe cookie-urile sensibile — in special cookie-urile de sesiune, autentificare si token CSRF. Raportul clasifica ca risc critic orice cookie de sesiune fara HttpOnly si ca risc mediu cookie-urile functionale expuse.

Greșeli frecvente

Setarea HttpOnly pe toate cookie-urile fara exceptie blocheaza functionalitatile JavaScript legitime — de exemplu, un cookie de preferinta tema (dark/light mode) accesat de JavaScript trebuie sa ramana fara HttpOnly. Greseala opusa este la fel de periculoasa: framework-uri ca Express.js nu seteaza HttpOnly by default pe cookie-ul de sesiune, iar dezvoltatorii uita sa il activeze explicit.

Bune practici

Activeaza HttpOnly pe orice cookie care nu trebuie citit de JavaScript: sesiuni, token-uri CSRF, credentiale. Combina intotdeauna HttpOnly cu Secure si SameSite=Lax pentru protectie multi-strat. In Express.js: session({ cookie: { httpOnly: true, secure: true, sameSite: 'lax' } }).