Kennzeichnung für „Nur-HTTP-Cookie“ aktivieren [In Security Center 1.3 aktualisiert]
Verwenden Sie die Eigenschaft glide.cookies.http_only, um das HTTPOnly-Attribut für vertrauliche Cookies zu aktivieren.
Verwenden Sie das Attribut HTTPOnly, um Angriffe wie websiteübergreifendes Skripting zu verhindern, da es keinen Zugriff auf das Cookie mit einem clientseitigen Skript wie JavaScript zulässt. Dadurch werden die Risiken von websiteübergreifendem Skripting nicht eliminiert, es werden jedoch einige Angriffsvektoren eliminiert.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.cookies.http_only |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Management von Anwendersitzungen |
| Zweck | Um das Risiko eines clientseitigen Skriptzugriffs auf das geschützte Cookie zu minimieren. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8 |
| Funktionale Auswirkung | Diese Korrektur fügt Sitzungscookies eine zusätzliche HTTPOnly-Kennzeichnung hinzu und schützt sie so vor Diebstahl.
|
| Sicherheitsrisiko | (Moderat) Sitzungscookies in der Anwendung authentifizieren einen Endanwender und stellen implizite Zugriffsberechtigungen für die Anwendung bereit. Das heißt, sie müssen vor Diebstahl oder Export geschützt werden. Nur-HTTP-Kennzeichnungen schützen die Sitzungscookies vor JavaScript-Einschleusungen oder websiteübergreifenden Skripting-Schwachstellen, die sie stehlen. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.