The 80/20 Rule for Web Application Security
The 80/20 Rule for Web Application Security / Jeremiah Grossman
http://www.webappsec.org/articles/013105.html
追記: cookie の httpOnly flag というのは始めてしった。MSIEだけでなく、Mozilla/Firefox、Konquerorもサポートしているようだ。
http://seclists.org/lists/webappsec/2004/Jul-Sep/0415.html