質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.53%
Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Google Cloud Platform

Google Cloud Platformは、Google社がクラウド上で提供しているサービス郡の総称です。エンドユーザー向けサービスと同様のインフラストラクチャーで運営されており、Webサイト開発から複雑なアプリ開発まで対応可能です。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

Q&A

解決済

2回答

424閲覧

Google Cloud Functions Python関数でのクッキー属性 "httpOnly" の設定

kobalab

総合スコア1

Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Google Cloud Platform

Google Cloud Platformは、Google社がクラウド上で提供しているサービス郡の総称です。エンドユーザー向けサービスと同様のインフラストラクチャーで運営されており、Webサイト開発から複雑なアプリ開発まで対応可能です。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

0グッド

2クリップ

投稿2023/08/28 07:33

実現したいこと

Google Cloud FunctionsでPython関数を実行しています。
別のアプリ内のイベント駆動WebhookによるPostリクエストを受信し、処理するための関数となります。

社内の脆弱性診断により、該当の関数において以下の通り診断されました。

Missing httpOnly Cookie Attribute

この内容について知見がなく、調査をしていたところです。
(内容自体については理解できました。)

試したこと・質問事項

公式ドキュメントなど色々調べたのですが、
「Google Cloud Functionではcookieが使えない」という旨の記述も見ました。
そもそもクッキーを利用するようなことはしていないのですが、
httpOnlyの設定は特に不要、または診断結果は無視できるものでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

Cookie が使えないってのは、下記のことを言っているのではないかと。
https://firebase.google.com/docs/hosting/manage-cache?hl=ja#using_cookies

Firebase Hosting と Cloud Functions または Cloud Run を併用すると、通常は受信リクエストから Cookie が削除されます。この処理は、CDN キャッシュの動作を効率化するために必要になります。__session という特別な名前の Cookie だけがアプリに到達できます。

で、Cloud Functions で set-cookie 的なこともしていない & 実際に Cloud Funtions が set-cookie 的なヘッダを出力しているのであれば、Cloud Functions が set-cookie 的なものを自動的に出力しているのではないかと思います。

その場合は
・Cloud Functions が自動で出力するもなのでどうしようもない
・リクエストする側はブラウザではなく js 処理系もないため httpOnly があろうがなかろうが違いはない
あたりで逃げておくのがよいのでは。

投稿2023/08/28 14:47

68user

総合スコア2005

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kobalab

2023/08/29 00:54

回答ありがとうございます! Cloud Functions側でset-cookie 的なものを自動的に行っている可能性もあるのですね。 社内回答への参考にさせて頂きます!
guest

0

クッキーを利用しないなら気にする必要はありませんが
httpOnlyが付いていないクッキーの運用は
セキュリティ的に最悪なのを認識頂けれると幸いです。

レスポンスヘッダー送信時にクッキー文字列の末尾にHttpOnlyという
文字を追加するだけでOK
なので
クッキーを利用する際は必ず付けましょう。

投稿2023/08/28 12:02

mamekinkanmame

総合スコア39

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kobalab

2023/08/29 00:56

回答ありがとうございます! クッキーを利用している際はそうですね、必ずhttpOnlyとSecure属性は意識するようにしたいと思います。 大変参考になりました、ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.53%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問