Uno degli attacchi più diffusi per minare la sicurezza di un'applicazione web consiste nel cercare di recuperare i cookie attraverso Javascript, con del codice iniettato ad hoc (ad esempio all'interno di forum/guestbook), con la speranza che all'interno dello stesso ci siano dati sensibili.
Anche se sarebbe buona cosa proteggere in maniera adegutata la propria applicazione sin dalle fondamenta, è possibile annulare del tutto questo effetto forzando i cookie in modo tale che non possano essere visti da Javascript (o comunque da codice client-side).
Si tratta di un'header particolare supportata al momento solo da IE 6.0 SP1, che può essere impostata in automatico aggiungendo questa direttiva direttamente al web.config:
<configuration> <system.web> <httpCookies httpOnlyCookies="true"/> </system.web> </configuration>
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Effettuare il deploy di immagini solo da container registry approvati in Kubernetes
Load test di ASP.NET Core con k6
Generare file per il download da Blazor WebAssembly
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript
Utilizzare flat e flatMap per appiattire array innestati in array
Recuperare un elemento inserito nella cache del browser tramite API JavaScript
Cache policy su route groups di Minimal API in ASP.NET Core 7
Usare ASP.NET Core dev tunnels per testare le applicazioni su internet
Eseguire operazioni con timeout in React
Implementare il throttling in ASP.NET Core
Utilizzare le Cache API di JavaScript per salvare elementi nella cache del browser