⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら

Cookie の HttpOnly / Secure 属性とは

認証・認可・セッション

定義

HttpOnlyはスクリプトからのCookie読み取りを防ぎ、SecureはHTTPS通信時のみCookieを送る設定です。SameSiteは他サイトからの送信を制限します。

なぜ危険か

未設定だと、XSSでログインCookieを盗まれたり、暗号化されていない通信で傍受されたりするリスクが上がります。

確認方法

ログインに関わるCookieに HttpOnly・Secure・SameSite が付与されているかを確認します。サイトドックの健診で確認できます。

あなたのサイトは大丈夫?無料でセキュリティ健診

URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。

無料で健診する

このリスクを今すぐ確認

Cookie安全性チェック(無料)→

関連する用語

クロスサイトスクリプティングセッションハイジャックHTTPS / TLS(通信の暗号化)
日本情報基盤サービス株式会社/JIISセキュリティラボ / www.jiis.co.jp
本ページは一般的な解説であり、個別の環境での適用は専門家にご相談ください。