CookieLab
100
Риск-профиль
Минимальный балл в наборе — индикатор «слабого звена».
- Cookie0
- Худший—
Cookie, видимые из JavaScript на этой странице. HttpOnly в этом списке не отображаются.
Сценарии: стрелки, точки, клавиши ← →, Home, End. «Повтор» проигрывает анимацию сцены.
1 / 4
Кража cookie через XSS
Без HttpOnly скрипт читает document.cookie. С HttpOnly сессия для JS недоступна.
Страницаapp.example
session
XSS<script>
Узелвнешний
HttpOnlyне в JS
session
XSSне читает
Сессияв браузере
CSRF
Браузер прикрепляет cookie к запросу. С SameSite=Strict cookie не уходит с чужого сайта.
Сайт Aскрытый POST
POST
session
Сайт Bзапрос с cookie
Сайт APOST
Strict×
Сайт Bcookie не ушёл
Фиксация сессии
Подставленный идентификатор до входа. Ротация после входа выдаёт новый неизвестный ID.
Сторона ASet-Cookie
SID=AAA
Пользовательвход
Серверсессия
AAA
После входаротация
SID=BBB
Супер-cookie / zombie
Копии идентификатора в разных хранилищах: после удаления cookie значение может восстановиться из другого слоя.
localStorage
IndexedDB
ETag
Cookie
id
id