Saltar a contenido

Secure Cookie Implementation

Descripción

Una cookie se considera segura cuando tiene los atributos de seguridad adecuados, como Secure y HttpOnly.

  • El indicador Secure asegura que la cookie solo se envíe a través de HTTPS, protegiéndola de ser transmitida por canales no cifrados.
  • El indicador HttpOnly mitiga el riesgo de ataques de Cross-Site Scripting (XSS) al hacer que la cookie sea inaccesible para JavaScript.

  • El atributo SameSite controla si las cookies se envían en solicitudes entre sitios, lo que ayuda a prevenir ataques de Cross-Site Request Forgery (CSRF). Este atributo puede configurarse como:

  • Strict: La cookie no se envía en solicitudes entre sitios.

  • Lax: La cookie se envía con la navegación de nivel superior, pero no con recursos integrados.

  • None: La cookie se envía con todas las solicitudes, pero requiere el indicador Secure si el valor es None.

  • El atributo Expires o Max-Age define la vida útil de la cookie, asegurando que no persista más de lo previsto.

  • Los atributos Domain y Path restringen a dónde se envía la cookie basándose en el dominio y la ruta de la URL, lo que permite limitar el intercambio de cookies dentro de un subdominio o ruta específicos.

Aquí hay un ejemplo de una configuración de cookie segura:

http request Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

Recomendación

La implementación es segura, no aplican recomendaciones.

Enlaces