<meta http-equiv> による Cookie の設定が許可されなくなります

公開日: | カテゴリー: HTML, プライバシー & セキュリティ

概要

HTML <meta> 要素は、その http-equiv 属性を通じて、特定の HTTP レスポンスヘッダーを送信するのと同等の機能を提供しており、これを使って新たな Cookie を設定したり既存の Cookie を上書きしたりすることも可能です。

<meta http-equiv="Set-Cookie" content="key=value">

クロスサイトスクリプティング (XSS) 攻撃のリスクを軽減するための努力の一環として、この古い挙動は最新の HTML 仕様から削除されました。Google Chrome 65 は既に 2018 年 3 月時点で対応を廃止しており、Firefox もまもなく続く見込みです。

ウェブ開発者には、標準の Set-Cookie HTTP ヘッダーを HttpOnlySecureSameSite ディレクティブとともに用いることでセキュリティを高めることを推奨します。

参考資料