Bloccare l'uso client-side dei cookie creati da ASP.NET 2.0

di Daniele Bochicchio, in ASP.NET 2.0, web.config,

Uno degli attacchi più diffusi per minare la sicurezza di un'applicazione web consiste nel cercare di recuperare i cookie attraverso Javascript, con del codice iniettato ad hoc (ad esempio all'interno di forum/guestbook), con la speranza che all'interno dello stesso ci siano dati sensibili.
Anche se sarebbe buona cosa proteggere in maniera adegutata la propria applicazione sin dalle fondamenta, è possibile annulare del tutto questo effetto forzando i cookie in modo tale che non possano essere visti da Javascript (o comunque da codice client-side).
Si tratta di un'header particolare supportata al momento solo da IE 6.0 SP1, che può essere impostata in automatico aggiungendo questa direttiva direttamente al web.config:

<configuration>
  <system.web>
    <httpCookies httpOnlyCookies="true"/>
  </system.web>
</configuration>

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti

I più letti di oggi