[WebGoat] [Cross-Site Scripting (XSS)] HTTPOnly Test

HttpOnly Cookie는 클라이언트 측에서 스크립트로 쿠키값을 불러올 때, 그 쿠키값에 접근하지 못하도록 한다.

document.cookie로 읽는 것을 차단하며, HTTP 프로토콜로 접근할 때에만 보이게 한다.

이 과정에선 뭐 하는 것은 없고 이러한 기능을 테스트하는 과정이다.

HTTPOnly를 끈 상태로 보면

Read Cookie를 할 때 이렇게 표시되며, 

Write Cookie를 할 때 이렇게 표시된다.

이번엔 HTTPOnly를 켜보자.

Read Cookie를 해도 표시되지 않는다.

이번엔 write cookie를 눌러, protection을 걸라는 문구가 삽입된다.

Write Cookie를 해도 이렇게 보이지 않는다. 

지금까지 alert(document.cookie);를 했을 때 보이지 않았던 이유가 이것 때문이었다.

이렇게 모두 확인하면 Clear된다.