カテゴリ: Servlet 更新日: 2025/06/18

JavaのCookieを安全にする!setHttpOnlyメソッドの使い方を初心者向けにわかりやすく解説

CookieのsetHttpOnlyメソッド
CookieのsetHttpOnlyメソッド
先生と生徒の会話形式で理解しよう

生徒

「先生、Cookieを使うとセキュリティが心配なんですが、何か対策はありますか?」

先生

「そうですね。JavaのCookieクラスには、setHttpOnlyというセキュリティ対策に役立つメソッドがあります。」

生徒

「そのsetHttpOnlyってどうやって使うんですか?」

先生

「それでは、javax.servlet.http.CookiesetHttpOnlyメソッドについて、基本から丁寧に説明していきましょう!」

1. Cookieとは何か?Javaでの役割

1. Cookieとは何か?Javaでの役割
1. Cookieとは何か?Javaでの役割

Cookie(クッキー)とは、Webブラウザに保存される小さなデータのことです。Javaでは、javax.servlet.http.Cookieクラスを使って、Servletアプリケーション内でCookieを操作できます。ユーザーのログイン状態の保持や、個別設定の保存などに広く利用されています。

ただし、Cookieはブラウザに保存されるため、悪意のあるスクリプトなどにアクセスされるリスクもあります。そうしたセキュリティリスクに対応するために使うのがsetHttpOnlyメソッドです。

2. setHttpOnlyメソッドの基本と目的

2. setHttpOnlyメソッドの基本と目的
2. setHttpOnlyメソッドの基本と目的

setHttpOnlyメソッドは、JavaのCookieクラスにおけるセキュリティ機能のひとつです。これを設定することで、そのCookieはJavaScriptなどのクライアントサイドスクリプトからアクセスできなくなります。

つまり、HttpOnly属性を付けることで、XSS(クロスサイトスクリプティング)などの攻撃からCookieを守ることができます。

3. setHttpOnlyメソッドの使い方と構文

3. setHttpOnlyメソッドの使い方と構文
3. setHttpOnlyメソッドの使い方と構文

基本的な構文はとてもシンプルです。trueを渡すことで、HttpOnly属性が有効になります。


Cookie cookie = new Cookie("sessionId", "abc123");
cookie.setHttpOnly(true);

このように記述することで、sessionIdというCookieは、JavaScriptからアクセスできなくなります。つまり、より安全なCookieとなります。

4. ServletでsetHttpOnlyを使ったサンプルコード

4. ServletでsetHttpOnlyを使ったサンプルコード
4. ServletでsetHttpOnlyを使ったサンプルコード

実際にHttpServletsetHttpOnlyを使用する例を見てみましょう。


import java.io.IOException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class HttpOnlyCookieServlet extends HttpServlet {
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
        Cookie cookie = new Cookie("authToken", "secureValue123");
        cookie.setHttpOnly(true);
        cookie.setPath("/");
        response.addCookie(cookie);

        response.getWriter().println("HttpOnly属性付きのCookieを送信しました。");
    }
}

このServletでは、authTokenという名前のCookieにHttpOnly属性を付与し、クライアントに送信しています。

5. 実行結果とレスポンスヘッダー

5. 実行結果とレスポンスヘッダー
5. 実行結果とレスポンスヘッダー

このServletを実行すると、以下のようなHTTPレスポンスヘッダーが生成されます。


Set-Cookie: authToken=secureValue123; HttpOnly; Path=/

このように、HttpOnlyが明記されていることを確認できます。これにより、JavaScriptでCookieを取得することができなくなります。

6. setHttpOnlyが有効な理由とセキュリティ効果

6. setHttpOnlyが有効な理由とセキュリティ効果
6. setHttpOnlyが有効な理由とセキュリティ効果

setHttpOnlyを使うことで、XSS攻撃の被害を軽減することができます。たとえば、悪意のあるスクリプトが埋め込まれたWebページをユーザーが開いた場合、JavaScriptからdocument.cookieでCookieを盗まれる可能性があります。

しかし、HttpOnly属性が付いていれば、JavaScriptではそのCookieにアクセスできず、セッションIDの漏洩などを防げるのです。

7. JavaでセキュアなCookieを作るポイント

7. JavaでセキュアなCookieを作るポイント
7. JavaでセキュアなCookieを作るポイント

JavaのServletでセキュアなCookieを扱うには、次のポイントを意識しましょう:

  • setHttpOnly(true)でスクリプトからのアクセスを防ぐ
  • setSecure(true)でHTTPS通信のみ有効にする
  • setPath("/")setDomainで適切なスコープを設定する
  • Cookieに機密情報は直接保存しない

これらを組み合わせることで、より安全なWebアプリケーションを構築できます。

8. JavaScriptからアクセスできるかの検証

8. JavaScriptからアクセスできるかの検証
8. JavaScriptからアクセスできるかの検証

通常のCookieはJavaScriptから次のように取得できます:


<script>
    alert(document.cookie);
</script>

しかし、HttpOnlyが設定されたCookieは、この方法では表示されません。これはセキュリティが正しく働いている証拠です。

9. setHttpOnlyとブラウザの対応状況

9. setHttpOnlyとブラウザの対応状況
9. setHttpOnlyとブラウザの対応状況

主要なブラウザ(Google Chrome、Firefox、Safari、Edgeなど)は、HttpOnly属性に対応しており、JavaScriptからのアクセスを自動的にブロックします。JavaでsetHttpOnlyを使えば、幅広いブラウザで安全性を高めることができます。

10. Web開発におけるCookieセキュリティの重要性

10. Web開発におけるCookieセキュリティの重要性
10. Web開発におけるCookieセキュリティの重要性

Webアプリケーションでは、Cookieを使ってユーザーの情報やセッションを管理することがよくあります。だからこそ、Cookieのセキュリティ対策は欠かせません。Javaのjavax.servlet.http.Cookieクラスが提供するsetHttpOnlyメソッドは、その中でも非常に重要な対策のひとつです。

セキュリティを意識した開発を心がけることで、ユーザーに安心して使ってもらえるWebサービスが実現できます。

関連記事:
HttpServletResponseWrapper | JavaのHttpServletResponseWrapperを完全解説!初心者でも理解できるレスポンス処理のしくみ
HttpSession | JavaのHttpSessionを徹底解説!初心者でもわかるセッション管理の基本
HttpServletRequestWrapperのgetContextPathメソッド | JavaのHttpServletRequestWrapperとgetContextPathメソッドを完全解説!初心者向けサーブレット開発ガイド
Partインターフェース | JavaのPartインターフェースを完全解説!初心者でもわかるファイルアップロード処理
HttpServletResponseのsendRedirectメソッド | JavaのHttpServletResponseクラスとsendRedirectメソッドを初心者向けに徹底解説!
GenericServletのgetInitParameterNamesメソッド | JavaのGenericServletクラスのgetInitParameterNamesメソッドを徹底解説!初心者でもわかる初期化パラメータの取得方法
HttpServletRequestのgetRemoteAddrメソッド | JavaのHttpServletRequestクラスとgetRemoteAddrメソッドを初心者向けに徹底解説!
HttpServletRequestのgetHeaderメソッド | JavaのHttpServletRequestクラスとgetHeaderメソッドを初心者向けに徹底解説!
カテゴリの一覧へ
新着記事
トランザクション入門:@Transactional の伝播・分離レベル・タイムアウト
Springの@Transactional徹底解説!トランザクションの伝播・分離レベル・タイムアウトの基本
HashMapのget メソッド
JavaのHashMapクラスgetメソッドの使い方を完全ガイド!初心者でもわかるjava.util入門
Thymeleafのth:fragmentの使い方
Thymeleafのth:fragmentを使ったテンプレートの再利用方法を完全ガイド!初心者でもわかる使い方
Springの@PathVariableアノテーション
Javaの@PathVariableアノテーションの使い方を徹底解説!初心者でもわかるパスパラメータの基本と応用
人気記事
No.1
Java&Spring記事人気No1
【ラムダ式】配列を扱う:Arrays.streamの基本と注意点
 262
Javaのラムダ式で配列を扱う!Arrays.streamの基本と注意点を初心者向けに解説
No.2
Java&Spring記事人気No2
RuntimeExceptionクラス
 243
JavaのRuntimeExceptionを完全解説!初心者でもわかるjava.langパッケージの基礎
No.3
Java&Spring記事人気No3
Spring Boot × Javaバージョン対応表:3.5/3.4/3.3 と Java 21/17の互換性
 242
Spring BootとJavaの互換性一覧!3.5/3.4/3.3はJava 21・17に対応してる?
No.4
Java&Spring記事人気No4
Integerクラス
 175
JavaのIntegerクラスの使い方を完全ガイド!初心者でもわかる整数操作
No.5
Java&Spring記事人気No5
BigDecimalのcompareToメソッド
 165
JavaのBigDecimalクラスcompareToメソッド完全ガイド!初心者でもわかる大小比較の基本
No.6
Java&Spring記事人気No6
Springの@Serviceアノテーション
 144
Springの@Serviceアノテーションの使い方を徹底解説!初心者でもわかるSpring フレームワーク入門
No.7
Java&Spring記事人気No7
@SuppressWarningsアノテーションの使い方
 124
Javaの@SuppressWarningsアノテーションの使い方を完全ガイド!初心者でもわかる警告の抑制方法
No.8
Java&Spring記事人気No8
HttpSession
 123
JavaのHttpSessionを徹底解説!初心者でもわかるセッション管理の基本