API / Option
httpOnly
JavaScript からの Cookie アクセスを禁止するオプション。XSS によるトークン窃取を防ぐ基本設定。
cookiexsssecurityhttp
所属:Cookie / Set-Cookie
代表的な値 / 使い方
truefalse
注意点 / Pitfalls
- ·true にすると document.cookie でクライアントから読めなくなる(意図した動作)
- ·フロントエンドで認証状態を判断したい場合は別途フラグ Cookie を使うか API で確認する
- ·false のまま本番に出すと XSS でセッションが盗まれるリスクがある
一緒に使う項目
補足
セッショントークンやリフレッシュトークンは必ず httpOnly: true で保存する。アクセストークンのみフロントエンドが必要な場合は httpOnly なし Cookie と組み合わせる構成も使われる。
関連ドキュメント
関連サンプル
同じテーマや技術スタックを使った実装例
Jest で document.cookie を使ったクッキー操作関数をテストする
document.cookie の get / set / delete を操作するユーティリティ関数を Jest でユニットテストする例。jsdom 環境での cookie 挙動とモックパターンを示す。
Next.js の cookies() で httpOnly セッション Cookie を管理する
next/headers の cookies() を使い、ログイン時に httpOnly セッション Cookie を発行し、Server Component・Route Handler・Middleware で読み書きする例。
Next.js の cookies() でサーバーサイドのクッキーを読み書きする
App Router の cookies() を使い、Server Component・Server Actions・Route Handler でクッキーを読み書きする実装例。