Rechercher

15.6. Les cookies de gestion de sessions http-only

download PDF
L'attribut http-only des cookies de gestion de sessions atténue les risques de failles de sécurité en limitant l'accès des API non - HTTP (comme JavaScript). Cette restriction permet d'atténuer la menace d'interception de cookies de session suite à des attaques de scripts inter-sites. Côté client, les cookies ne sont pas accessibles en JavaScript ou dans les autres méthodes de scripts. Cela s'applique uniquement aux cookies de gestion de sessions et non pas aux autres cookies de navigateur. Par défaut, l'attribut http uniquement est activé.
Vous devez ajouter SSO au serveur virtuel du sous-système web pour utiliser l'attribut http-only.

Exemple 15.4. Ajouter SSO au serveur virtuel

Saisir la commande CLI suivante pour ajouter SSO au serveur virtuel dans le sous-système web.
/subsystem=web/virtual-server=default-host/sso=configuration:add

Note

JSESSIONID et JSESSIONIDSSO sont des cookies de suivi de sessions. Par défaut, elles sont http-only et on ne doit pas y accéder par des scripts.

Exemple 15.5. Vérifier l'attribut http-only

Saisir la commande CLI suivante pour vérifier la valeur de l'attribut http-only.
/subsystem=web/virtual-server=default-host/sso=configuration:read-resource-description

{
    "outcome" => "success",
    "result" => {
        "description" => "The SSO configuration for this virtual server.",
        "access-constraints" => {"sensitive" => {"web-sso" => {"type" => "web"}}},
        "attributes" => {
            "http-only" => {
                "type" => BOOLEAN,
                "description" => "The cookie http-only flag will be set.",
                "expressions-allowed" => true,
                "nillable" => true,
                "default" => true,
                "access-type" => "read-write",
                "storage" => "configuration",
                "restart-required" => "all-services"
            }
            ...
    }
}

Exemple 15.6. Activer l'attribut http-only

Saisir la commande CLI suivante pour activer l'attribut http-only.
/subsystem=web/virtual-server=default-host/sso=configuration:write-attribute(name=http-only,value=true)
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.