Cookies HTTP uniquement (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette glide.cookies.http_only propriété pour activer l’attribut HTTPOnly pour les cookies confidentiels.

    Utilisez l’attribut HTTPOnly pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript. Il n’élimine pas les risques de script intersite mais élimine certains vecteurs d’exploitation.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.cookies.http_only
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Pour atténuer le risque que le script côté client accède au cookie protégé.
    Valeur recommandée VRAI
    Impact fonctionnel (Faible) Cette correction ajoute un marqueur HTTPOnly supplémentaire sur les cookies de session, les protégeant ainsi contre le vol.
    • Si vous disposez d’une fonctionnalité personnalisée qui nécessite JavaScript pour accéder au cookie de l’utilisateur, cela interrompt cette fonctionnalité. Cela ne devrait pas être le cas dans des circonstances normales.
    • Il Now Platform gère la gestion des sessions et il ne devrait pas y avoir de raison pour qu’un script personnalisé accède aux cookies de l’utilisateur.
    Risque de sécurité (Moyen) Les cookies de session dans l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites à l’application. Cela signifie qu’il est nécessaire de les protéger contre le vol ou l’exportation. Les indicateurs HTTP Only protègent les cookies de session contre les injections JavaScript ou les vulnérabilités de script de site à site qui les volent.
    Références Propriétés système disponibles

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.