Cookies HTTP uniquement (renforcement de la sécurité de l’instance)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour activer l’attribut HTTPOnly pour les glide.cookies.http_only cookies sensibles.

    Utilisez l’attribut HTTPOnly pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript. Il n’élimine pas les risques de cross-site scripting mais élimine certains vecteurs d’exploitation.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.cookies.http_only
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Pour atténuer le risque que le script côté client accède au cookie protégé.
    Valeur recommandée VRAI
    Impact fonctionnel (Faible) Cette remédiation ajoute un marqueur HTTPOnly supplémentaire aux cookies de session, les protégeant ainsi contre le vol.
    • Si vous disposez d’une fonctionnalité personnalisée qui nécessite JavaScript pour accéder au cookie de l’utilisateur, cette fonctionnalité est interrompue. Cela ne devrait pas être le cas dans des circonstances normales.
    • Il Now Platform gère la gestion des sessions et il ne devrait pas y avoir de raison pour qu’un script personnalisé accède aux cookies de l’utilisateur.
    Risque de sécurité (Moyen) Les cookies de session de l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites à l’application. Cela signifie qu’il est nécessaire de les protéger contre le vol ou l’exportation. Les marqueurs HTTP Only protègent les cookies de session contre les injections JavaScript ou les vulnérabilités de script de site à site qui les volent.
    Références Propriétés système disponibles

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.