Aller au contenu

Secure Cookie Implementation

Description

Un cookie est considéré comme sécurisé lorsqu'il possède les attributs de sécurité appropriés, tels que Secure et HttpOnly.

  • L'indicateur Secure garantit que le cookie est uniquement envoyé via HTTPS, le protégeant ainsi contre toute transmission sur des canaux non chiffrés.
  • L'indicateur HttpOnly atténue le risque d'attaques de type Cross-Site Scripting (XSS) en rendant le cookie inaccessible au code JavaScript.

  • L'attribut SameSite contrôle si les cookies sont envoyés lors de requêtes inter-sites, contribuant ainsi à prévenir les attaques de type Cross-Site Request Forgery (CSRF). Cet attribut peut être défini sur :

  • Strict : Le cookie n'est pas envoyé lors des requêtes inter-sites.

  • Lax : Le cookie est envoyé lors de la navigation de premier niveau, mais pas avec les ressources intégrées.

  • None : Le cookie est envoyé avec toutes les requêtes, mais nécessite l'indicateur Secure si la valeur est None.

  • L'attribut Expires ou Max-Age définit la durée de vie du cookie, garantissant qu'il ne persiste pas plus longtemps que prévu.

  • Les attributs Domain et Path restreignent l'envoi du cookie en fonction du domaine et du chemin d'accès de l'URL, ce qui permet de limiter le partage des cookies à un sous-domaine ou à un chemin spécifique.

Voici un exemple de configuration de cookie sécurisé :

http request Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

Recommandation

L'implémentation est sécurisée, aucune recommandation ne s'applique.

Liens