CA5396: Impostare HttpOnly su true per HttpCookie
Proprietà | valore |
---|---|
ID regola | CA5396 |
Title | Impostare HttpOnly su true per HttpCookie |
Categoria | Sicurezza |
La correzione causa un'interruzione o meno | Non causa un'interruzione |
Abilitato per impostazione predefinita in .NET 9 | No |
Causa
System.Web.HttpCookie.HttpOnly è impostato su false
. Il valore predefinito di questa proprietà è false
.
Descrizione regola
Come misura avanzata di difesa, assicurarsi che i cookie HTTP sensibili alla sicurezza siano contrassegnati come HttpOnly. Ciò indica che i Web browser non devono consentire agli script di accedere ai cookie. Gli script dannosi inseriti sono un modo comune per rubare i cookie.
Come correggere le violazioni
Impostare System.Web.HttpCookie.HttpOnly su true
.
Quando eliminare gli avvisi
Se il valore globale di HttpOnly è impostato, ad esempio nell'esempio seguente:
<system.web> ... <httpCookies httpOnlyCookies="true" requireSSL="true" /> </system.web>
Se si è certi che non sono presenti dati sensibili nei cookie.
Eliminare un avviso
Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.
#pragma warning disable CA5396
// The code that's violating the rule is on this line.
#pragma warning restore CA5396
Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none
su nel file di configurazione.
[*.{cs,vb}]
dotnet_diagnostic.CA5396.severity = none
Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.
Esempio
Violazione:
using System.Web;
class ExampleClass
{
public void ExampleMethod()
{
HttpCookie httpCookie = new HttpCookie("cookieName");
httpCookie.HttpOnly = false;
}
}
Soluzione:
using System.Web;
class ExampleClass
{
public void ExampleMethod()
{
HttpCookie httpCookie = new HttpCookie("cookieName");
httpCookie.HttpOnly = true;
}
}