Implemente sinalizador de cabeçalho HTTP de cookie com HTTPOnly & Secure para proteger um site contra ataques XSS
Você sabia que pode mitigar os problemas mais comuns ataques XSS usando HttpOnly e Secure bandeira com seu cookie?
XSSName é perigoso. Observando um número crescente de ataques XSS diariamente, você deve considerar protegendo seus aplicativos da web .
Sem ter o sinalizador HttpOnly e Secure no cabeçalho de resposta HTTP, é possível roubar ou manipular cookies e sessões de aplicativos da web.
É melhor gerenciar isso dentro do código do aplicativo. No entanto, devido ao desconhecimento dos desenvolvedores, trata-se de Web Administradores de servidores.
Não vou falar sobre como defini-los no nível do código. você pode se referir aqui .
Procedimento de Implementação no Apache
- Certifique-se de ter
mod_headers.sohabilitado no servidor Apache HTTP - Adicione a seguinte entrada em httpd.conf
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure- Reinicie o servidor Apache HTTP para testar
Observação: A edição de cabeçalho não é compatível com inferior à versão Apache 2.2.4 .
Você pode usar o seguinte para definir o HttpOnly e seguro sinalizador em versão inferior à 2.2.4. Obrigado a Ytse por compartilhar esta informação.
Header set Set-Cookie HttpOnly;SecureVerificação
Você pode aproveitar as ferramentas de desenvolvedor embutidas do navegador para verificar o cabeçalho de resposta ou usar um ferramenta online .
Ajudou?
Este é um dos muitos endurecendo coisas para fazer no Apache .
