expressでcookieのhttpOnly属性防御xss攻撃を設定します.


ほとんどはxss攻撃(クロスステーションスクリプト攻撃)であり、クライアントのブラウザにスクリプトを注入し、クッキーを取得してハッカーの指定されたアドレスに送信することを試みる.サービスエンドのsessionはseesion Idを記録するクッキーによって識別されるからです.ハッカーはクッキーを手に入れると、当然身分を偽造して権限を得ることができます.cookieのhttpOnly属性は、ブラウザでdocument.co okieを通じてこのクッキーにアクセスできないことを意味し、xss攻撃を防ぐ目的を達成する.
express-sessionでは、デフォルトはすでにcookieのhttpOnly:trueを開いています.原文は以下の通りです.
cookie.httpOnly
Specifies the  boolean value for the  HttpOnly  Set-Cookie atribute.When truthy,the  HttpOnly atribute is set,otherswise it is not.By default,the  HttpOnly atribute is set.しかし、express自身が提供するcookieのapiのデフォルト値はfalseであり、手動でtrueに設定する必要があります.コードは以下の通りです.
res.cookie('rememberme', '1', {httpOnly: true });