Activer le marqueur de cookie HTTP uniquement [mis à jour dans Security Center 1.3]
Utilisez cette glide.cookies.http_only propriété pour activer l’attribut HTTPOnly pour les cookies confidentiels.
Utilisez l’attribut HTTPOnly pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript. Il n’élimine pas les risques de script intersite mais élimine certains vecteurs d’exploitation.
Avertissement :
Il s’agit d’une propriété d’exonération, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.cookies.http_only |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour atténuer le risque que le script côté client accède au cookie protégé. |
| Valeur recommandée | VRAI |
| Cote de risque de sécurité | 8 |
| Impact fonctionnel | (Faible) Cette correction ajoute un marqueur HTTPOnly supplémentaire sur les cookies de session, les protégeant ainsi contre le vol.
|
| Risque de sécurité | (Modéré) Les cookies de session dans l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites à l’application. Cela signifie qu’il est nécessaire de les protéger contre le vol ou l’exportation. Les indicateurs HTTP Only protègent les cookies de session contre les injections JavaScript ou les vulnérabilités de script de site à site qui les volent. |
| Références | Propriétés système disponibles |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.