Activer le marqueur de cookie HTTP uniquement [mis à jour dans Security Center 1.3]
Utilisez la propriété pour activer l’attribut HTTPOnly pour les glide.cookies.http_only cookies sensibles.
Utilisez l’attribut HTTPOnly pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript. Il n’élimine pas les risques de cross-site scripting mais élimine certains vecteurs d’exploitation.
Avertissement :
Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.cookies.http_only |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour atténuer le risque que le script côté client accède au cookie protégé. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 8 |
| Impact fonctionnel | (Faible) Cette remédiation ajoute un marqueur HTTPOnly supplémentaire aux cookies de session, les protégeant ainsi contre le vol.
|
| Risque de sécurité | (Modéré) Les cookies de session de l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites à l’application. Cela signifie qu’il est nécessaire de les protéger contre le vol ou l’exportation. Les marqueurs HTTP Only protègent les cookies de session contre les injections JavaScript ou les vulnérabilités de script de site à site qui les volent. |
| Références | Propriétés système disponibles |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.