Le drapeau HttpOnly peut-il empêcher une attaque de fixation de session?

Question

J'ai besoin de conserver l'ID de session après la connexion. Mon cookie d'identifiant de session est marqué comme HttpOnly. Cette configuration est-elle absolument sécurisée? Est-il possible pour un attaquant d'effectuer une attaque de fixation de session si mon cookie de session est HttpOnly?

Answer 1

Il est préférable d'avoir un cookie de session au format HttpOnly, car cela rend la session plus sûre.

La meilleure façon d'éviter la vulnérabilité de fixation de session est de créer une nouvelle session pour l'utilisateur lors de l'authentification.

Vérifiez l'article OWASP à propos de session fixation. Il contient des informations sur les techniques permettant d'exécuter ce type d'attaque.