Kennzeichnung für „Nur-HTTP-Cookie“ aktivieren [Aktualisiert in Security Center 1.3]
Verwenden Sie die Eigenschaft glide.cookies.http_only, um das HTTPOnly-Attribut für vertrauliche Cookies zu aktivieren.
Verwenden Sie das Attribut HTTPOnly, um Angriffe wie websiteübergreifendes Skripting zu verhindern, da es keinen Zugriff auf das Cookie mit einem clientseitigen Skript wie JavaScript zulässt. Dadurch werden nicht die Risiken von websiteübergreifendem Skripting eliminiert, aber einige Ausnutzungsvektoren eliminiert.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft, was bedeutet, dass der Wert nicht mehr geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.cookies.http_only |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Sitzungsverwaltung |
| Zweck | Um das Risiko eines clientseitigen Skripts zu verringern, das auf das geschützte Cookie zugreift. |
| Empfohlener Wert | Wahr |
| Sicherheitsrisikobewertung | 8 |
| Funktionale Auswirkung | (Niedrig) Diese Korrektur fügt ein zusätzliches HTTPOnly-Flag in Sitzungscookies hinzu und schützt sie so vor Diebstahl.
|
| Sicherheitsrisiko | (Mittel) Sitzungscookies in der Anwendung authentifizieren einen Endbenutzer und stellen implizite Zugriffsberechtigungen für die Anwendung bereit. Das bedeutet, dass sie vor Diebstahl oder Export geschützt werden müssen. Kennzeichnungen vom Typ „Nur HTTP“ schützen die Sitzungscookies vor JavaScript-Injektionen oder websiteübergreifenden Skripting-Schwachstellen, die sie stehlen. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.