Cookies
HttpOnly
Estas son cookies que pueden ser configuradas por el servidor o por javascript pero no pueden ser accedidas de ninguna manera por javascript.
Con el parámetro HTTPOnly habilitado, es muy difícil robar una sesión a través de XSS porque el javascript no puede leer el contenido de estas cookies.
Un ataque ampliamente explotado en XSS es el robo de cookies de sesión de usuario. El robo de cookies se realiza mediante un comando javascript que envía las cookies a una URL externa donde el usuario atacante tiene el control.
Esta opción está habilitada de forma predeterminada en todas las aplicaciones.
ID de la Sesión
Habilita la identificación de sesión que se almacenará en cookies en el lado del cliente. Esta opción incrusta la identificación de la sesión directamente en las URL
Esta opción está habilitada de forma predeterminada en todas las aplicaciones.
Cookie Segura
Con esta opción habilitada, las cookies están protegidas y solo se pueden transmitir a través de una comunicación segura. Por lo tanto, no se puede acceder a ellos a través de Javascript.
La opción HttpOnly también debe estar habilitada.