HTTP のみの Cookie フラグを有効にする (Security Center 1.3 で更新)
glide.cookies.http_only プロパティを使用して、機密性の高い Cookie の HTTPOnly 属性を有効にします。
HTTPOnly 属性は、JavaScript などのクライアント側スクリプトを使用した Cookie へのアクセスを許可しないため、クロスサイトスクリプティングなどの攻撃を防止するために使用します。クロスサイトスクリプティングのリスクは排除されませんが、一部の悪用ベクトルは排除されます。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.cookies.http_only |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | セッション管理 |
| 目的 | クライアント側スクリプトが保護された Cookie にアクセスするリスクを軽減すること |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 8 |
| 機能への影響度 | (低) この修正では、セッション Cookie に HTTPOnly フラグが追加されるため、Cookie の盗難を防ぎます。
|
| セキュリティリスク | (中) アプリケーションのセッション Cookie はエンドユーザーを認証し、アプリケーションに対する暗黙的なアクセス権限を付与します。つまり、セッション Cookie の盗難やエクスポートの防止が必要になります。HTTP Only フラグは、JavaScript インジェクションまたはクロスサイトスクリプティングの脆弱性による盗難からセッション Cookie を保護します。 |
| 参照 | 利用可能なシステムプロパティ |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。