Passer au contenu principal

Renforcer la sécurité de vos cookies avec HttpOnly, Secure et SameSite

HttpOnly

L’attribut HttpOnly est conçu pour renforcer la sécurité des cookies en limitant leur accès aux requêtes HTTP. Cela signifie que les cookies marqués avec HttpOnly ne peuvent pas être accédés par des scripts côté client, comme JavaScript. Cette mesure est particulièrement utile pour prévenir le vol de cookies via des attaques de type Cross-Site Scripting (XSS)

Secure

L’attribut Secure assure que les cookies ne sont envoyés qu’avec des requêtes effectuées via HTTPS, un protocole sécurisé. En marquant un cookie avec l’attribut Secure, vous indiquez au navigateur de ne pas envoyer le cookie sur une connexion non sécurisée

SameSite

L’attribut SameSite est un paramètre de sécurité pour les cookies qui détermine comment ils sont envoyés avec les requêtes entre différents domaines. Il existe trois valeurs possibles pour cet attribut :

  • Strict : Avec cette configuration, le cookie est uniquement transmis lors de requêtes effectuées directement depuis le domaine d’origine. Cela renforce la sécurité en limitant l’utilisation du cookie au site qui l’a créé.

  • Lax (valeur par défaut) : Dans ce mode, le cookie accompagne les requêtes lorsque l’utilisateur accède au site d’origine depuis un site externe en cliquant par exemple su un lien depuis un autre site.

  • None : Cette option autorise le cookie à être inclus dans toutes les requêtes inter-domaines.

Retour en haut