Uno degli attacchi più diffusi per minare la sicurezza di un'applicazione web consiste nel cercare di recuperare i cookie attraverso Javascript, con del codice iniettato ad hoc (ad esempio all'interno di forum/guestbook), con la speranza che all'interno dello stesso ci siano dati sensibili.
Anche se sarebbe buona cosa proteggere in maniera adegutata la propria applicazione sin dalle fondamenta, è possibile annulare del tutto questo effetto forzando i cookie in modo tale che non possano essere visti da Javascript (o comunque da codice client-side).
Si tratta di un'header particolare supportata al momento solo da IE 6.0 SP1, che può essere impostata in automatico aggiungendo questa direttiva direttamente al web.config:
<configuration> <system.web> <httpCookies httpOnlyCookies="true"/> </system.web> </configuration>
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
I più letti di oggi
- ecco tutte le novità pubblicate sui nostri siti questa settimana: https://aspit.co/wkly buon week-end!
- Windows Server 2003 SP1 Italiano
- Creare un modulo e un controller con AngularJS
- Build 2014: tutte le novità per gli sviluppatori in diretta da San Francisco
- Rilasciata la versione RTM di Windows Vista SP1