Evitare attacchi XSS con Set-Cookie HttpOnly
Tra le tante accortezze che bisogna avere per mettere in sicurezza un’applicazione web, c’è quella di servire i cookies in modalità protetta. Aggiungiamo quindi in /etc/apache2/conf-enabled/security.conf
1 2 | Header always edit Set-Cookie"(?i)^((?:(?!;\s?HttpOnly).)+)$""$1; HttpOnly" Header always edit Set-Cookie(.*)"$1; Secure" |
e poi riavviamo apache:
1 | service apache2 restart |
Per verificare che tutto funzioni, si può usare curl come segue:
1 | curl-Ihttp://www.sito_da_controllare.ext/index.php |
e verificare che la riga che inizia per Set-Cookie abbia anche … Leggi tutto