Set-Cookie/DE
Version vom 26. März 2019, 11:06 Uhr von Siwebot (Diskussion | Beiträge)
Überprüfung von Set-Cookie
| Check | Cookies sind nicht gesichert. |
| Beschreibung | Cookies sollten durch das Setzen des HttpOnly und Secure flags gesichert werden um zu verhindern, dass Dritte die Informationen abgreifen oder verändern können. |
| Hintergrund | Überprüft ob Flags zur Cookie Sicherheit gesetzt sind. |
| Auswirkung | Wenn Cookies nicht abgesichert werden, können sie über einen Man-in-the-middle-Angriff verändert oder abgegriffen werden. |
| Lösung/Tipps | `httpOnly`-Flag setzen, damit das Cookie nicht über JavaScript ausgelesen werden kann. Damit schützen Sie die Session-Informationen vor Auslesen und Diebstahl, denn wer das Cookie hat gilt als authentifiziert.
`secure`-Flag setzen, damit das Cookie nicht über unverschlüsselte Verbindungen HTTP gesendet wird, sondern ausschließlich über HTTPS. |
