Cookie (httpOnly, secure, sameSite)

Advanced Ecosystem 🟡 Mid

Definition

Les attributs de sécurité des cookies : httpOnly empêche l'accès JavaScript (anti-XSS), secure exige HTTPS, sameSite protège contre le CSRF.

Analogie

Un coffre-fort avec trois serrures : une contre le vol numérique, une contre l'espionnage réseau, une contre la tromperie.

Exemple de code

res.cookie('session', token, {
  httpOnly: true,   // No JS access
  secure: true,     // HTTPS only
  sameSite: 'lax',  // CSRF protection
  maxAge: 3600000,  // 1 hour
  path: '/',
});

Cas d'usage

Stocker des tokens d'authentification de manière sécurisée dans le navigateur.

Anti-pattern

Omettre httpOnly sur un cookie de session, permettant à un script XSS de le voler.

Termes lies

#security#web