Cookies nur HTTP (Instanzsicherheit Härtung)
Verwenden Sie die Eigenschaft glide.cookies.http_only, um das HTTPOnly-Attribut für vertrauliche Cookies zu aktivieren.
Verwenden Sie das Attribut HTTPOnly, um Angriffe wie websiteübergreifendes Skripting zu verhindern, da es keinen Zugriff auf das Cookie mit einem clientseitigen Skript wie JavaScript zulässt. Dadurch werden die Risiken von websiteübergreifendem Skripting nicht eliminiert, es werden jedoch einige Angriffsvektoren eliminiert.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.cookies.http_only |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um das Risiko eines clientseitigen Skriptzugriffs auf das geschützte Cookie zu minimieren. |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | (Niedrig) Diese Korrektur fügt Sitzungscookies eine zusätzliche HTTPOnly-Kennzeichnung hinzu und schützt sie so vor Diebstahl.
|
| Sicherheitsrisiko | (Mittel) Sitzungscookies in der Anwendung authentifizieren Endanwender und gewähren implizite Zugriffsberechtigungen für die Anwendung. Das heißt, sie müssen vor Diebstahl oder Export geschützt werden. Nur-HTTP-Kennzeichnungen schützen die Sitzungscookies vor JavaScript-Einschleusungen oder websiteübergreifenden Skripting-Schwachstellen, die sie stehlen. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.