Cookies

Configuración de seguridad de cookies en la aplicación

HttpOnly

Estas son cookies que pueden ser configuradas por el servidor o por javascript pero no pueden ser accedidas de ninguna manera por javascript.

Con el parámetro HTTPOnly habilitado, es muy difícil robar una sesión a través de XSS porque el javascript no puede leer el contenido de estas cookies.

Un ataque ampliamente explotado en XSS es el robo de cookies de sesión de usuario. El robo de cookies se realiza mediante un comando javascript que envía las cookies a una URL externa donde el usuario atacante tiene el control.

Esta opción está habilitada de forma predeterminada en todas las aplicaciones.

ID de la Sesión

Habilita la identificación de sesión que se almacenará en cookies en el lado del cliente. Esta opción incrusta la identificación de la sesión directamente en las URL

Esta opción está habilitada de forma predeterminada en todas las aplicaciones.

Con esta opción habilitada, las cookies están protegidas y solo se pueden transmitir a través de una comunicación segura. Por lo tanto, no se puede acceder a ellos a través de Javascript.

La opción HttpOnly también debe estar habilitada.

Cookies

Cookies

HttpOnly

ID de la Sesión

Cookie Segura

In this article