Compartir a través de


CA5396: Establecer HttpOnly en true para HttpCookie

Propiedad Value
Identificador de la regla CA5396
Título Establecer HttpOnly en true para HttpCookie
Categoría Seguridad
La corrección interrumpe o no interrumpe Poco problemático
Habilitado de forma predeterminada en .NET 9 No

Causa

System.Web.HttpCookie.HttpOnly se establece en false. El valor predeterminado de esta propiedad es false.

Descripción de la regla

Como medida de defensa en profundidad, asegúrese de que las cookies HTTP confidenciales de seguridad estén marcadas como HttpOnly. Esto indica que los navegadores web deben impedir que los scripts accedan a las cookies. Los scripts malintencionados insertados son una forma habitual de robar cookies.

Cómo corregir infracciones

Establezca System.Web.HttpCookie.HttpOnly en true.

Cuándo suprimir las advertencias

  • Si el valor global de HttpOnly está establecido, como en el ejemplo siguiente:

    <system.web>
        ...
        <httpCookies httpOnlyCookies="true" requireSSL="true" />
    </system.web>
    
  • Está seguro de que no hay datos confidenciales en las cookies.

Supresión de una advertencia

Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.

#pragma warning disable CA5396
// The code that's violating the rule is on this line.
#pragma warning restore CA5396

Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.

[*.{cs,vb}]
dotnet_diagnostic.CA5396.severity = none

Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.

Ejemplo

Infracción:

using System.Web;

class ExampleClass
{
    public void ExampleMethod()
    {
        HttpCookie httpCookie = new HttpCookie("cookieName");
        httpCookie.HttpOnly = false;
    }
}

Solución:

using System.Web;

class ExampleClass
{
    public void ExampleMethod()
    {
        HttpCookie httpCookie = new HttpCookie("cookieName");
        httpCookie.HttpOnly = true;
    }
}