Kennzeichnung für „nur HTTP-Cookie aktivieren“ [aktualisiert in Security Center 1,3]
Verwenden Sie glide.cookies.http_onlyEigenschaft zum Aktivieren des Attributs „HttpOnly“ für sensible Cookies.
Verwenden Sie das Attribut HttpOnly, um Angriffe zu verhindern, z. B. siteübergreifendes Skripting, da es keinen Zugriff auf das Cookie mit einem clientseitigen Skript wie JavaScript zulässt. Es beseitigt nicht die Risiken bei der Cross-Site-Skripting, aber einige Ausnutzungsvektoren.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft, d. h. der Wert kann nicht geändert werden, nachdem er geändert wurde. Sie kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.cookies.http_only |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Management von Anwendersitzungen |
| Zweck | Um das Risiko zu mindern, dass clientseitiges Skript auf das geschützte Cookie zugreift. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8 |
| Funktionale Auswirkung | Diese Korrektur fügt eine zusätzliche HttpOnly-Kennzeichnung in Sitzungscookies hinzu, um sie vor Diebstahl zu schützen.
|
| Sicherheitsrisiko | (Mittel) Sitzungscookies in der Anwendung authentifizieren einen Endanwender und gewähren implizite Zugriffsberechtigungen für die Anwendung. Das bedeutet, dass sichergestellt werden muss, dass sie gestohlen oder exportiert werden. HTTP-Kennzeichnungen schützen die Sitzungscookies vor JavaScript-Einschleusungen oder Site-übergreifenden Skripting-Schwachstellen, die sie stehlen. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.