Activer le marqueur de cookie HTTP uniquement [Mis à jour dans Centre de sécurité 1.3]
Utilisez la propriété pour activer l’attribut glide.cookies.http_only HTTPOnly pour les cookies sensibles.
Utilisez l’attribut HTTPOnly pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript. Il n’élimine pas les risques de script de site à site, mais élimine certains vecteurs d’exploitation.
Avertissement :
Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.cookies.http_only |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour atténuer le risque d’accès des scripts côté client au cookie protégé. |
| Valeur recommandée | vrai |
| Valeur par défaut | vrai |
| Cote de risque de sécurité | 8 |
| Impact fonctionnel | Cette correction ajoute un marqueur HTTPOnly supplémentaire sur les cookies de session, les protégeant ainsi contre le vol.
|
| Risque de sécurité | (Modéré) Les cookies de session dans l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites sur l’application. Cela signifie qu’il est nécessaire de les protéger contre le vol ou l’exportation. Les marqueurs HTTP Only protègent les cookies de session contre les injections JavaScript ou les vulnérabilités de script de site à site qui les volent. |
| Références | Propriétés système disponibles |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.