Cookies somente HTTP (proteção de segurança da instância)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use a propriedade glide.cookies.http_only para habilitar o atributo HTTPOnly para cookies confidenciais.

    Use o atributo HTTPOnly para impedir ataques, como script entre sites, porque ele não permite o acesso ao cookie usando um script do lado do cliente, como JavaScript. Ele não elimina os riscos de script entre sites, mas elimina alguns vetores de exploração.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.cookies.http_only
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Configurar em Instance Security Center Sim
    Finalidade Reduzir o risco de um script do lado do cliente acessar o cookie protegido.
    Valor recomendado verdadeiro
    Impacto funcional (Baixo) Esta correção adiciona um sinalizador HTTPOnly extra nos cookies da sessão, protegendo-os contra roubos.
    • Se você tiver uma funcionalidade personalizada que requer JavaScript para acessar o cookie do usuário, essa funcionalidade será interrompida. Não será o caso em circunstâncias normais.
    • A Now Platform lida com a gestão de sessão e não deve haver um motivo para um script personalizado acessar os cookies do usuário.
    Risco à segurança (Médio) Os cookies de sessão na aplicação autenticam um usuário final e fornecem permissões de acesso implícitas na aplicação. Isso significa que há uma necessidade de protegê-los contra roubos ou exportação. Sinalizadores HTTP somente protegem os cookies de sessão de injeções de JavaScript ou vulnerabilidades de script entre sites que os roubam.
    Referências Propriedades do sistema disponíveis

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.