Quali sono alcune buone pratiche per garantire che gli accessi, gli ID di sessione e i contenuti delle sessioni siano sicuri per un sito web?
Oltre all'elenco di VirtuosiMedia:
secure
e httpOnly
sul cookie. X-Frame-Options
. Scade la sessione dopo un ragionevole lasso di tempo ... Elimina la sessione da qualsiasi utilizzo come repository, in modo che non possa essere riutilizzata ...
non salvare la password o altre informazioni utente ad eccezione dell'ID utente per la sessione.
Implementa DNSSec per proteggere la tua sessione HTTPS dagli attacchi tramite WiFi, o reti pubbliche tra cui cablate / commutate .
Utilizza HTTPS solo per i cookie che non richiedono l'accesso Javascript
Utilizza l'attributo di sicurezza per tutti gli altri cookie
Non consentire javascript di terze parti sul tuo sito
Simile a quanto sopra, non pubblichi annunci sul tuo sito
Leggi altre domande sui tag authentication cookies session-management