Mettez en œuvre le cookie HTTP header flag avec HTTPOnly & Secure pour protéger un site web contre les attaques XSS
Savez-vous que vous pouvez atténuer les attaques XSS les plus courantes en utilisant l’indicateur HttpOnly
et Secure
dans votre cookie ?
Les attaquesXSS sont dangereuses. Le nombre d’attaques XSS augmentant chaque jour, vous devez envisager de sécuriser vos applications web.
Sans les drapeaux HttpOnly et Secure dans l’en-tête de la réponse HTTP, il est possible de voler ou de manipuler les sessions et les cookies des applications web.
Il est préférable de gérer cela dans le code de l’application. Cependant, en raison de l’inconscience des développeurs, c’est aux administrateurs de serveurs web qu’il incombe de s’en charger.
Je ne parlerai pas de la manière de définir ces paramètres au niveau du code. Vous pouvez vous référer ici.
Procédure d’implémentation dans Apache
- Assurez-vous que
mod_headers.so
est activé dans le serveur HTTP Apache - Ajoutez l’entrée suivante dans httpd.conf
En-tête toujours éditer Set-Cookie ^(.*)$ $1;HttpOnly;Secure
- Redémarrez le serveur HTTP Apache pour tester
Note: L’édition de l’en-tête n’est pas compatible avec les versions inférieures à Apache 2.2.4.
Vous pouvez utiliser ce qui suit pour définir les drapeaux HttpOnly et Secure dans les versions inférieures à la 2.2.4. Merci à Ytse pour avoir partagé cette information.
Header set Set-Cookie HttpOnly;Secure
Vérification
Vous pouvez utiliser les outils de développement intégrés au navigateur pour vérifier l’en-tête de la réponse ou utiliser un outil en ligne.
Cela vous a-t-il aidé ?
C’est l’une des nombreuses choses à faire pour renforcer Apache.