Cookie set without HttpOnly Flag

Was bedeutet Cookie set without HttpOnly Flag?

Ein Cookie wird verwendet, um vertrauliche Informationen zu speichern, jedoch ist das Cookie nicht mit der HttpOnly Flag gekennzeichnet.

Cookies k├Ânnen durch Domain oder Pfad begrenzt werden. Dieser Test befasst sich nur mit der Domain-Bereich. Der Domain-Bereich, der auf ein Cookie angewendet wird, bestimmt, welche Domain Zugriff hat. Zum Beispiel kann ein Cookie streng auf eine Subdomain, z.B. nottrusted.com, oder lose auf eine ├╝bergeordnete Domain, z.B. nottrusted.com, beschr├Ąnkt sein. Im letzteren Fall hat jede Subdomain von nottrusted.com Zugriff auf das Cookie. Cookies mit einer losen Beschr├Ąnkung sind in Mega-Anwendungen, wie google.com und live.com ├╝blich.

Beschreibung

Das HttpOnly Flag weist kompatible Browser an, zu verhindern, dass clientseitige Skripts auf Cookies zugreifen. Durch das Einf├╝gen der HttpOnly Flag in den Set-Cookie-HTTP-Antwortheader wird das Risiko verringert, das mit Cross Site Scripting (XSS) verbunden ist, wobei der Skript-Code eines Angreifers versuchen kann, den Inhalt eines Cookies zu lesen und die erhaltenen Informationen zu filtern. Wenn festgelegt, geben Browser, die diese Flag unterst├╝tzen, den Inhalt des Cookies nicht ├╝ber ein ├╝ber XSS ausgef├╝hrtes clientseitiges Skript an Dritte weiter.

Durch diese Ma├čnahme k├Ânnen bestimmte clientseitige Angriffe, z.B. Cross Site Scripting, etwas schwieriger ausgenutzt werden, indem verhindert wird, dass sie den Wert des Cookies ├╝ber ein Injected Script auf einfache Weise erfassen k├Ânnen.

Bei nicht gesetzter HttpOnly Flag k├Ânnen vertrauliche Informationen, die im Cookie gespeichert sind, unautorisierten Personen ausgesetzt sein. Wenn es sich bei dem fraglichen Cookie um ein Authentifizierungs-Cookie handelt, kann das Nicht-Setzen der HttpOnly Flag einem Angreifer m├Âglicherweise erlauben, Authentifizierungsdaten (z.B. eine Sitzungs-ID) zu stehlen und die Identit├Ąt des Benutzers anzunehmen.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Nutzen Sie die HttpOnly Flag, wenn Sie in einer Antwort ein heikles Cookie setzen.

Es gibt normalerweise keinen triftigen Grund, die HttpOnly Flag nicht f├╝r alle Cookies zu setzen. Wenn Sie nicht ausdr├╝cklich legitime clientseitige Skripts in Ihrer Anwendung zum Lesen oder Setzen eines Cookie-Werts ben├Âtigen, sollten Sie die HttpOnly Flag setzen, indem Sie dieses Attribut in die entsprechende Set-Cookie-Direktive aufnehmen.

Sie sollten sich dessen bewusst sein, dass die durch die HttpOnly Flag auferlegten Einschr├Ąnkungen m├Âglicherweise unter bestimmten Umst├Ąnden umgangen werden k├Ânnen und dass neben dem einfachen Cookie-Diebstahl auch zahlreiche andere schwere Angriffe durch clientseitige Script Injection ausgef├╝hrt werden k├Ânnen.

Hinweis: Diese Einschr├Ąnkung ist zwar f├╝r den Schutz von Cookies vor den Scripting-Mechanismen eines Browsers wirksam, jedoch k├Ânnen Komponenten oder Plugins von Drittanbietern eigene Mechanismen haben, die den Zugriff auf Cookies erm├Âglichen. Angreifer k├Ânnen m├Âglicherweise auch XMLHTTPResponse verwenden, um die Header direkt zu lesen und das Cookie zu erhalten.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte