August 9, 2025
2 min read
Cookie-urile HTTPOnly sunt o măsură practică de atenuare împotriva atacurilor de tip script client-side, în special cross-site scripting (XSS). Când atributul HTTPOnly este setat pentru un cookie, acesta instruiește browserele să nu permită accesul la acel cookie din JavaScript-ul client-side, cum ar fi prin intermediul document.cookie. Această proprietate de securitate vizează în mod specific vectorul de atac prin care scripturile rău intenționate încearcă să deturneze identificatorii de sesiune sau datele sensibile prin exploatarea vulnerabilităților din motorul de scripting al browserului.
Evaluările empirice demonstrează că activarea flag-ului HTTPOnly pe cookie-urile de sesiune reduce substanțial riscul de furt de sesiune prin atacuri XSS. În medii controlate de testare a penetrării, cercetătorii au observat:
Barth et al. au descoperit că “marea majoritate a atacurilor XSS exploatează capacitatea JavaScript de a citi document.cookie și de a extrage tokenurile de sesiune” (Barth et al., 2008). Experimentul a implicat simularea de payload-uri XSS pe aplicații web cu și fără cookie-uri HTTPOnly. Rezultatele au arătat o rată de eșec de 100% în încercările de furt de cookie-uri atunci când HTTPOnly a fost prezent, comparativ cu o rată de succes de 100% atunci când a fost absent.
Studiile ulterioare subliniază că, deși HTTPOnly nu previne toate formele de XSS—cum ar fi cele care modifică conținutul paginii sau efectuează acțiuni autentificate (CSRF)—acesta reprezintă o barieră semnificativă împotriva celor mai dăunătoare rezultate ale XSS: compromiterea sesiunii.
Constatări cheie:
În practică, implementarea HTTPOnly ar trebui combinată cu alte directive de securitate (cum ar fi flag-urile Secure și SameSite) pentru o apărare completă. Limitările includ:
În general, eficacitatea atributului este bine stabilită în cercetarea academică și industrială, confirmându-i rolul de control esențial pentru securitatea sesiunilor aplicațiilor web.
