HttpOnly

https://junpeko.com/httponly/

Set-Cookie: CookieKey=DATA; Secure; HttpOnly

クッキーの持つ属性のひとつで、この属性を指定したCookiejavascriptから読み取ることができなくなる。
(サーバへの送信は行われる)
この属性をつけることで、XSSなどで読み込まれた不正なjavascriptからセッションIDを盗難されることを防ぐことができる。



以下のようなフラグもある。
https://laboradian.com/same-site-cookies/
SameSite=strictフラグ(ページ内部品から、表示しているページのロケーションバーと違うドメインへアクセスするときクッキーを送らない。クロスサイトリクエストフォージェリ: CSRF 攻撃を防止)
secure=trueフラグ(cookiehttpsコネクションでのみ利用できるようにします)