Chat now with support
Chat mit Support

Identity Manager 8.2.1 - Konfigurationshandbuch für Web Designer Webanwendungen

Über dieses Handbuch Web Portal konfigurieren Webauthn-Sicherheitsschlüssel Multi-Faktor-Authentifizierung Application Governance Modul konfigurieren Kennwortrücksetzungsportal konfigurieren Empfehlungen für einen sicheren Betrieb von Webanwendungen

"HttpOnly"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies mit JavaScript manipuliert werden können und um das Risiko von Cross-Site-Scripting-Angriffen und Cookie-Diebstahl zu reduzieren, können Sie das sogenannte "HttpOnly"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch können Cookies nicht mehr durch Client-seitige Skripte verwendet werden.

Um das "HttpOnly"-Attribut für die ASP.NET-Session-Cookies zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies httpOnlyCookies="true"/>
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

"Same-site"-Attribut für ASP.NET-Session-Cookies setzen

Um eine Cross-Site-Request-Forgery (CSRF) zu vermeiden, können Sie für Ihre ASP.NET-Session-Cookies das Same-site-Attribut setzen.

Um das Same-site-Attribut für alle .NET-Versionen ab 4.7.2 zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies sameSite="Strict" />
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

"Secure"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies von Unbefugten ausgelesen werden können, können Sie das sogenannte "Secure"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch werden Cookies nur noch über gesicherte SSL-Verbindungen übertragen.

Um das "Secure"-Attribut für die ASP.NET-Session-Cookies zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies requireSSL="true"/>
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

Windows-IIS-8.3-Kurznamen deaktivieren

Der URL-Parser in den Microsoft Internet Information Services (IIS) ermöglicht einem Remote-Angreifer, Datei- und Ordnernamen der Webanwendungen (die nicht zugänglich sein sollen) durch Verwenden der IIS-8.3-Kurznamen offen zu legen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass Dateien mit sensiblen Informationen wie Anmeldeinformationen, Konfigurationsdateien, Wartungsskripte und anderen Daten weitergegeben werden.

Um dies zu verhindern, können Sie die Erstellung von Kurznamen in Windows IIS 8.3 deaktivieren.

Um die Erstellung von Windows-IIS-8.3-Kurznamen zu deaktivieren

  1. Auf dem System, auf dem die Webanwendung installiert ist, erstellen Sie den folgenden Registry-Eintrag:

    • Pfad: HKLM\SYSTEM\CurrentControlSet\Control\FileSystem

    • Name: NtfsDisable8dot3NameCreation

    • Wert: 1

  2. Führen Sie eine Neuinstallation der Webanwendung durch.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen