📖
Segurança

HttpOnly

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.

📚 O que é

Com HttpOnly, document.cookie não consegue ler o cookie. Apenas o browser o envia automaticamente em requests HTTP. Tokens de autenticação SEMPRE devem ter HttpOnly.

✅ Quando usar

Todos os cookies de sessão/auth. JWT armazenado em cookie. Qualquer cookie sensível.

🚫 Quando NÃO usar

Cookies que o JavaScript do cliente precisar ler (ex: preferências de UI sem dados sensíveis). Mas prefira sempre HttpOnly e leia do servidor quando necessário.

👍 Prós
Mitiga roubo de token via XSS
Simples de implementar
Zero custo de performance
👎 Contras
JS não pode ler (intencional)
Não previne CSRF sozinho
Precisa de SameSite junto
🔗 Termos relacionados
XSS
Segurança

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

CSRF
Segurança

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

CORS
Segurança

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

CSP
Segurança

Content Security Policy. Header HTTP que restringe o que pode executar na página.

SameSite
Segurança

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.