Chat now with support
Chat mit Support

Identity Manager 9.1 - Konfigurationshandbuch für Web Designer Webanwendungen

Über dieses Handbuch Web Portal konfigurieren Webauthn-Sicherheitsschlüssel Application Governance Modul konfigurieren Kennwortrücksetzungsportal konfigurieren Empfehlungen für einen sicheren Betrieb von Webanwendungen

"Same-site"-Attribut für ASP.NET-Session-Cookies setzen

Um eine Cross-Site-Request-Forgery (CSRF) zu vermeiden, können Sie für Ihre ASP.NET-Session-Cookies das Same-site-Attribut setzen.

Um das Same-site-Attribut für alle .NET-Versionen ab 4.8 zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies sameSite="Strict" />
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

"Secure"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies von Unbefugten ausgelesen werden können, können Sie das sogenannte "Secure"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch werden Cookies nur noch über gesicherte SSL-Verbindungen übertragen.

Um das "Secure"-Attribut für die ASP.NET-Session-Cookies zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies requireSSL="true"/>
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

Windows-IIS-8.3-Kurznamen deaktivieren

Der URL-Parser in den Microsoft Internet Information Services (IIS) ermöglicht einem Remote-Angreifer, Datei- und Ordnernamen der Webanwendungen (die nicht zugänglich sein sollen) durch Verwenden der IIS-8.3-Kurznamen offen zu legen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass Dateien mit sensiblen Informationen wie Anmeldeinformationen, Konfigurationsdateien, Wartungsskripte und anderen Daten weitergegeben werden.

Um dies zu verhindern, können Sie die Erstellung von Kurznamen in Windows IIS 8.3 deaktivieren.

Um die Erstellung von Windows-IIS-8.3-Kurznamen zu deaktivieren

  1. Auf dem System, auf dem die Webanwendung installiert ist, erstellen Sie den folgenden Registry-Eintrag:

    • Pfad: HKLM\SYSTEM\CurrentControlSet\Control\FileSystem

    • Name: NtfsDisable8dot3NameCreation

    • Wert: 1

  2. Führen Sie eine Neuinstallation der Webanwendung durch.

Detaillierte Informationen zum Thema

HTTP-Response-Header in Windows IIS entfernen

Angreifer können viele Informationen über Ihren Server und Ihr Netzwerk erhalten, indem sie sich die Response-Header ansehen, die Ihr Webserver zurückgibt.

Um Angreifern so wenig Informationen wie möglich zu geben, können Sie die HTTP-Response-Header in Windows IIS entfernen.

Um die HTTP-Response-Header in WindowsIIS zu entfernen

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen