はじめに

業務でcookieを用いる場面があったので概要と各属性について備忘録としてまとめてみました。

cookie

cookieについての説明は以下のサイトが分かりやすかったので引用します。

developer.mozilla.org

HTTP Cookie (ウェブ Cookie、ブラウザー Cookie) は、サーバーがユーザーのウェブブラウザーに送信する小さなデータであり、ブラウザーに保存され、その後のリクエストと共に同じサーバーへ返送されます。
Cookie は主に、以下の 3 つの用途で使用されます。
セッション管理
→ログイン、ショッピングカート、ゲームのスコア、またはその他のサーバーが覚えておくべきもの
パーソナライズ
→ユーザー設定、テーマ、その他の設定
トラッキング
→ユーザーの行動の記録および分析

cookieの各属性について

cookieの属性とはオプションのようなもので、以下の7つが存在します。

Domain属性
Path属性
Expires属性
Max-Age属性
HttpOnly属性
Secure属性
SameSite属性

開発者ツール > Applicationを開くと各属性の確認ができます。

それでは以下より、それぞれの属性の説明をしていきます。

Domain属性

Domain属性はcookieを送信して良いドメインを登録する属性です。

基本的にはFQDNに対するリクエスト時にcookieを送信(青枠)しますが、ドメインを指定した場合(赤枠)は後方一致でcookieの送信が可能です。

※要するに、abcd.amazon.comというFQDNのサイトがあった場合、青枠のcookieは送信されませんが赤枠のcookieは送信される、ということになります。

Path属性

Path属性を指定すると、そのPath配下のパスの時のみcookieを送信するという設定ができます。

Path属性で/hogeと設定した場合、/fugaや/hogehogeのようなパスの際にはcookieが送信されない、ということですね。

Expires属性

Expires属性はcookieの有効期限を表します。

こちらは設定が必須ではなく、設定した場合は以下の画像の赤枠のように有効期限の日付が入りますが、設定しなかった場合はSessionという文字列が入り、セッション終了(ブラウザを閉じた)後にcookieが削除されます。

ログイン情報など、cookieに残しておくとセキュリティ的に好ましくないものもあるため、そういうものについてはExpires属性を付けないのもアリではあります(実際には利便性との要相談...という感じ)。

Max-Age属性

Max-Age属性はExpires属性とほぼ同じで有効期限を表しています。
Expires属性が日付を設定するのに対し、Max-Age属性は秒数を設定します。

※基本的にはExpires属性が利用されていることが多いとのこと。

HttpOnly属性

HttpOnly属性を付けることでcookieをJavaScriptで操作することを防ぐことができます。

HttpOnly属性の付いていないcookieはJavaScriptを用いて操作することが可能です。
そのため、例えば外部ファイルを読み込むサイト等があった場合に外部ファイルに攻撃者がcookieの値を取得するようなスクリプトを紛れ込ませていた場合、ユーザのcookieを取得することが可能な状態になってしまいます。

あくまで上記は一例ですが、基本的にはHttpOnly属性を付けるようにしましょう。