httponly 속성
- "Set-Cookie 응답 헤더"에 설정하는 속성
- 클라이언트(웹 브라우저 등)에서 스크립트를 통해 해당 쿠키에 접근하는 것을 차단하여 세션 탈취 방지
- XSS 공격 대응책
- php.ini의 session.cookie_httponly = True (또는 1) 설정
secure 속성
- "Set-Cookie 응답 헤더"에 설정하는 속성
- 클라이언트(웹 브라우저 등)에서 HTTPS(SSL/TLS) 통신일 경우에만 해당 쿠키를 전송하고, HTTP 통신을 경우에는 전송하지 않음
- 전송구간 암호화를 통해 평문 쿠키 노출 방지
- php.ini의 session.cookie_secure= True (또는 1) 설정
'정보보안기사&CISSP관련 > Application Security' 카테고리의 다른 글
| [Day 274] SNMP - Community String (0) | 2021.05.10 |
|---|---|
| [Day 100] 검색엔진 정보노출 취약점 (0) | 2020.11.18 |
| [Day 74] IIS Web Log 종류 (0) | 2020.10.23 |
| [Day 73] FTP Bounce Attack (0) | 2020.10.22 |
| [Day 71] DNS Cache Poisoning Attack (0) | 2020.10.20 |