Feedback

Cookies

Cookies

Configuração de segurança de cookies na aplicação

HttpOnly

São cookies que podem ser setados pelo servidor ou por javascript porém não podem ser acessados de nenhuma forma por javascript.

Com o parâmetro HTTPOnly habilitado, dificulta bastante o roubo de sessão através de XSS pois o javascript não consegue ler o conteúdo destes cookies.

Um ataque muito explorado em XSS é o roubo dos cookies de sessão do usuário. O roubo dos cookies é realizado através de um comando javascript que envia os cookies para uma URL externa onde o usuário atacante tem controle.

Essa opção vem habilitada por default em todas as aplicações.

ID da sessão

Habilita o id da sessão que será armazenado nos cookies no lado do cliente. Essa opção embute o id de sessão diretamente nas URLs

Essa opção vem habilitada por default em todas as aplicações.

Com essa opção habilitada os cookies estão protegidos e só podem ser transmitidos através de uma comunicação segura. Com isso, não podem ser acessados através de Javascript.

A opção HttpOnly também precisa estar habilitada.