Cookie sicuri - impostarli nell'applicazione o nel server web?

Naviga le tue risposte
1

Newbie qui.

Sono consapevole che il flag di sicurezza per i cookie può essere impostato nella configurazione del server Web o nell'applicazione. Quale sarebbe l'approccio migliore? Risolvilo nel codice o correggili nel Webserver? O risolverli in entrambi i posti? Molte volte, ho visto i team IT risolvere questa vulnerabilità solo sulla configurazione del server web, lasciando intatto il codice dell'applicazione. Qualsiasi svantaggio nell'impostazione del cookie solo nel server Web e non nell'applicazione?

    
posta Sree 25.04.2018 - 12:48
fonte

1 risposta

1

L'utilizzo del webserver fa in modo di non dimenticare alcun cookie. L'utilizzo dell'applicazione consente di creare un cookie senza i flag, che potrebbe essere importante in particolare per httpOnly.

Ti consiglio di usare entrambi, in modo che se ne hai bisogno, puoi disabilitare quello del server e usare solo quello in applicazione per i cookie che richiedono il flag e anche creare cookie senza di esso. Sarebbe indesiderabile dover passare attraverso il codice in retrospettiva cercando tutti i luoghi in cui vengono utilizzati i cookie.

Naturalmente, potresti essere in grado di creare un'eccezione anche nella configurazione del server, ma meglio essere sicuri, quindi scusa. L'utilizzo di entrambi è la migliore opzione IMO, in quanto non c'è motivo per non farlo.

    
risposta data 25.04.2018 - 13:11
fonte

Leggi altre domande sui tag

Utilizza il parametro D della chiave privata come segreto HMAC per JWT in un ambiente con bilanciamento del carico Qual è il modo più semplice per sandbox un'applicazione in un ambiente * NIX?