Implemente la bandera de encabezado HTTP cookie con HTTPOnly & Secure para proteger un sitio web de ataques XSS
¿Sabe que puede mitigar los ataques XSS más comunes utilizando la bandera HttpOnly y Secure con su cookie?
XSS es peligroso. Al observar diariamente un número creciente de ataques XSS, debe considerar la posibilidad de proteger sus aplicaciones web.
Sin tener la bandera HttpOnly y Secure en la cabecera de respuesta HTTP, es posible robar o manipular las sesiones y cookies de las aplicaciones web.
Es mejor gestionar esto dentro del código de la aplicación. Sin embargo, debido al desconocimiento de los desarrolladores, esto llega a los administradores del servidor web.
No hablaré de cómo configurarlas a nivel de código. Puede consultar aquí.
Procedimiento de implementación en Apache
- Asegúrese de que tiene habilitado
mod_headers.soen el servidor HTTP Apache - Añada la siguiente entrada en httpd.conf
El encabezado siempre se edita Set-Cookie ^(.*)$ $1;HttpOnly;Secure- Reinicie el servidor HTTP Apache para probar
Nota: La edición del encabezado no es compatible con versiones inferiores a Apache 2.2.4.
Puede utilizar lo siguiente para establecer la bandera HttpOnly y Secure en versiones inferiores a la 2.2.4. Gracias a Ytse por compartir esta información.
Cabecera Set-Cookie HttpOnly;SecureVerificación
Puede aprovechar las herramientas para desarrolladores incorporadas en el navegador para comprobar el encabezado de respuesta o utilizar una herramienta en línea.
¿Le ha servido de ayuda?
Esta es una de las muchas cosas de hardening que se pueden hacer en Apache.