Jak zabezpieczyć ciasteczka sesyjne przed atakami XSS?

Jak zabezpieczyć ciasteczka sesyjne przed atakami XSS?

2013-07-04 17:20 Redakcja

Flaga HttpOnly to kluczowy element w zabezpieczaniu ciasteczek sesyjnych. Ustawiając tę flagę, możemy zminimalizować ryzyko ich wykradzenia w wyniku ataków XSS. Domyślnie flaga ta jest ustawiona na false, ale można to zmienić dla wszystkich ciasteczek, modyfikując odpowiedni parametr w pliku web.config.

W przypadku języka PHP, ważne jest, aby w pliku php.ini ustawić session.cookie_httponly = True. Dodatkowo, warto skonfigurować dyrektywę, by moduł korzystał tylko z ciasteczek do utrzymywania sesji: session.use_only_cookies = True. Od wersji PHP 5.3.0, to ustawienie jest domyślne.

Innym sposobem na włączenie flagi HttpOnly jest użycie mod_headers. Można to skonfigurować za pomocą polecenia: Header always edit Set-Cookie ^(.*)$ $1;HttpOnly. Pamiętajmy, że flaga ta chroni nas tylko częściowo przed skutkami XSS, dlatego istotne jest, aby aplikacja była odpowiednio zabezpieczona.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.