セッションクッキーSession Cookie

セッションクッキーは、Webアプリにおいてログイン状態を維持するためにブラウザに発行されるCookieで、サーバー側のセッションストア (Redis / DB / Memcached) に保管された状態とCookie内のセッションIDが対応します。セキュリティ属性として (1) HttpOnly: JS から document.cookie で読めないようにしXSS対策 (2) Secure: HTTPS でのみ送信 (3) SameSite=Lax/Strict: クロスサイトでの自動送信を制限しCSRF対策 (4) Path / Domain: スコープ最小化 (5) __Host- / __Secure- prefix でセキュリティ強化、を組み合わせます。最近は Cookie 容量制限・3rd party Cookie廃止の流れがあり、サブドメイン跨ぎでは慎重な設計が必要です。JWT を Cookie に入れる場合も同じ属性ガードが必須です。