Bloccare l'uso client-side dei cookie creati da ASP.NET 2.0
Uno degli attacchi più diffusi per minare la sicurezza di un'applicazione web consiste nel cercare di recuperare i cookie attraverso Javascript, con del codice iniettato ad hoc (ad esempio all'interno di forum/guestbook), con la speranza che all'interno dello stesso ci siano dati sensibili.
Anche se sarebbe buona cosa proteggere in maniera adegutata la propria applicazione sin dalle fondamenta, è possibile annulare del tutto questo effetto forzando i cookie in modo tale che non possano essere visti da Javascript (o comunque da codice client-side).
Si tratta di un'header particolare supportata al momento solo da IE 6.0 SP1, che può essere impostata in automatico aggiungendo questa direttiva direttamente al web.config:
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true"/>
</system.web>
</configuration>Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
I più letti di oggi
- Migliorare l'organizzazione delle risorse con Azure Policy
- Memorizzare posizione e dimensioni della finestra di una applicazione OOB Silverlight 4.0
- Migliorare l'accessibilià delle immagini nella Universal Windows Platform
- Creare un adorner personalizzato per le trading cards di PivotViewer in Silverlight 5.0
- Mostrare popup modali in WinRT
- Usare le animazioni di sistema in Windows 8
