經得起原始碼資安弱點掃描的程式設計習慣培養(十一)_HttpOnlyCookies In Config

 
https://zh-yue.wikipedia.org/wiki/%E6%9B%B2%E5%A5%87


  接續前幾篇系列













在網頁風險中掃描當遇到位於web.config中設定安全性不足問題
比如沒有定義 "httpOnly" 標記來保護 cookie中的敏感資訊,可能會遭
客戶端腳本(client-side scripts)存取session cookie。

至web.config
修改階層如下

<configuration>
    <system.web>
        <httpCookies httpOnlyCookies="true" requireSSL="true"/>


當系統如存在XSS漏洞透過該設定可減少一定的風險




















留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header