Что такое HttpOnly cookie в security testing?

QAQA Engineer MiddleSecurity TestingТеорияqaengineersecuritytestingowaspandbasicappsec

Что хотят услышать интервьюеры:

Коротко: Это базовая тема security testing, которую QA должен понимать на уровне рисков и проверок: HttpOnly cookie.

Ответ:

Пример: Например, QA проверяет, что система не раскрывает данные и корректно ограничивает доступ для: HttpOnly cookie.

Что проверить:

  • auth
  • roles
  • input
  • headers
  • cookies
  • logs

Типичная ошибка: рассматривать HttpOnly cookie как формальность и не связывать проверку с риском для пользователя или бизнеса.

Как отвечать на собеседовании: объясните цель, назовите реальные сценарии и покажите, как HttpOnly cookie влияет на качество продукта.

Источники

Похожие вопросы

Security Testing Что такое cookie flags в security testing? Security Testing Что такое SameSite cookie в security testing? Security Testing Что такое Secure cookie в security testing? Security Testing Что такое API authorization в security testing?