Cookies seguras: ¿configurarlas en la aplicación o en el servidor web?

1

Newbie aquí.

Soy consciente de que el indicador de seguridad para las cookies se puede establecer en la configuración del servidor web o en la aplicación. ¿Cuál sería el mejor enfoque? ¿Fijarlos en el código, o arreglarlos en el servidor web? ¿O arreglarlos en ambos lugares? Muchas veces, he visto a los equipos de TI corregir esta vulnerabilidad solo en la configuración del servidor web, dejando el código de la aplicación intacto. ¿Alguna desventaja en la configuración de la cookie solo en el servidor web y no en la aplicación?

    
pregunta Sree 25.04.2018 - 12:48
fuente

1 respuesta

1

Al utilizar el servidor web, asegúrese de no olvidar ninguna cookie. El uso de la aplicación garantiza que pueda crear una cookie sin las marcas, lo que puede ser importante, especialmente para httpOnly.

Recomiendo usar ambos, de modo que si lo necesita, puede deshabilitar el servidor uno y simplemente usar el que está en la aplicación para las cookies que necesitan la marca y también crear las cookies sin él. Sería indeseable tener que revisar el código en retrospectiva buscando todos los lugares donde se utilizan las cookies.

Por supuesto, es posible que también pueda crear una excepción en la configuración del servidor, pero más vale prevenir que lamentar. El uso de ambos es la mejor opción de IMO, ya que no hay razón para no hacerlo.

    
respondido por el Peter Harmann 25.04.2018 - 13:11
fuente

Lea otras preguntas en las etiquetas