Featured image of post Cookies seguras: HttpOnly, Secure, SameSiteFeatured image of post Cookies seguras: HttpOnly, Secure, SameSite

Cookies seguras: HttpOnly, Secure, SameSite

Complete guide to secure cookie configuration covering SameSite, Secure flag, HttpOnly, cookie prefixes, CHIPS, and cross-site behavior for modern web apps.

Las cookies tienen atributos de seguridad que protegen contra XSS, CSRF y escuchas no autorizadas. Configurarlos correctamente es esencial.

HttpOnly

Previene el acceso a la cookie desde JavaScript (document.cookie). Bloquea robo de cookies via XSS. Esencial para cookies de sesión.

Secure

La cookie solo se envía en conexiones HTTPS. Nunca en HTTP. Protege contra ataques Man-in-the-Middle. Siempre activar.

SameSite

Strict: máxima protección CSRF. Lax: balance seguridad/usabilidad. None + Secure: cookies de terceros (menos seguro).

Prefijo __Host-

Cookies con prefijo __Host- aseguran que: solo se asignan desde HTTPS, no se pueden sobreescribir desde subdominios, y tienen Path=/.