Estoy comprobando la etiqueta http-only de algunas páginas web y tengo una duda cuando intento verificar. Por ejemplo en la siguiente imagen:
Hay algunas cookies con la marca http-only activa, pero no sé si estas cookies contienen tokens o información importante. ¿Cómo puedo saber eso? Gracias.
Por lo general, no sabe qué contiene la cookie, ya que su información solo debe ser utilizada por el servidor. Algunos servidores cifran la cookie para proteger su contenido y evitar que el usuario la cambie.
Ahora, para el indicador HttpOnly .
Fue algo "inventado" por Microsoft en IE6 . Es un indicador adicional destinado a para el navegador para no permitir que los scripts del lado del cliente accedan a la cookie. Si no se establece el indicador, document.cookies devolverá su contenido y un exploit XSS puede comprometer las cookies del usuario. Con el indicador establecido, el navegador no permitirá que ningún script del lado del cliente lea su contenido, y solo enviará su contenido al servidor web.
Si los datos de las cookies son útiles para el cliente (como el idioma, las preferencias de clasificación o cualquier preferencia del lado del cliente), no establezca el indicador HttpOnly . Si los datos se usan solo en el lado del servidor (como PHPSESSID , ASPSESSION o cualquier cosa que el lado del cliente no use), establezca HttpOnly y haga más difícil el aprovechamiento de XSS para robar las cookies.
Lea otras preguntas en las etiquetas cookies