Cookie (HTTP Cookie) とは、Web サイトがユーザーのコンピューターに状態情報を保存するために使用するメカニズムのことです。これにより、サーバーは複数の HTTP 要求にわたってクライアントを認識できるようになります。 HTTP はステートレス プロトコルであるため、本質的に各リクエストを独立して処理し、同一のリクエストに対して同一の応答を返します。 HTTP の初期の実装は、ステートフルな相互作用を提供するように設計されていませんでした。 しかし、Webapplicationsが進化するにつれて、特にユーザーのログイン前とログイン後に異なる応答を必要とするオンライン バンキングなどのapplicationsでは、状態情報を効果的に管理する必要が生じました。 この課題に対処するために、HTTP クッキーが開発されました。
Cookie は、Web サーバーによってユーザーのデバイスにローカルに保存される小さなデータ レコードです。 通常、Cookie データには、ユーザーを識別する情報、以前の訪問のタイムスタンプ、訪問頻度の指標が含まれます。 ユーザーが、以前に保存された Cookie を使用して Web サイトに再度アクセスすると、そのサイトはユーザーを認識し、それに応じて応答できるため、カスタマイズされたステートフルなインタラクションが可能になります。
Web ページに埋め込まれたスクリプトも Cookie にアクセスできますが、このアクセスは元のスクリプトと同じドメインに関連付けられた Cookie に厳密に制限されています。これは、「同一オリジン ポリシー」と呼ばれるセキュリティ慣行です。 ただし、クロスサイトスクリプティング (XSS) などの脆弱性により、攻撃者がこれらの制限を回避し、Cookie 情報を不正に取得できる可能性があります。
XSS やその他の Web ベースの脅威に関連するリスクを軽減するには、Webapplicationファイアウォール (WAF) を導入して効果的な防御層を構築し、Webapplicationsの脆弱性を悪用しようとする悪意のある試みを検出してブロックすることができます。
F5 は、F5 BIG-IPソリューションを通じて強力な WAF 機能を提供し、XSS などの攻撃を防ぎ、Cookie コンテンツを不正アクセスから保護します。