Événements
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantCA5396 : Affecter la valeur true à HttpOnly pour HttpCookie
| Propriété | Value |
|---|---|
| Identificateur de la règle | CA5396 |
| Titre | Affecter la valeur true à HttpOnly pour HttpCookie |
| Catégorie | Sécurité |
| Le correctif est cassant ou non cassant | Sans rupture |
| Activée par défaut dans .NET 9 | Non |
System.Web.HttpCookie.HttpOnly est défini sur false. La valeur par défaut de cette propriété est false.
En guise de mesure de défense en profondeur, assurez-vous que les cookies HTTP sensibles pour la sécurité sont marqués comme HttpOnly. Cela indique que les navigateurs web doivent interdire aux scripts d’accéder aux cookies. Les scripts malveillants injectés sont un moyen courant de voler des cookies.
Définissez System.Web.HttpCookie.HttpOnly sur true.
Si la valeur globale de HttpOnly est définie, comme dans l’exemple suivant :
<system.web> ... <httpCookies httpOnlyCookies="true" requireSSL="true" /> </system.web>Si vous êtes sûr qu’il n’y a pas de données sensibles dans les cookies.
Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.
#pragma warning disable CA5396
// The code that's violating the rule is on this line.
#pragma warning restore CA5396
Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.
[*.{cs,vb}]
dotnet_diagnostic.CA5396.severity = none
Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.
Violation :
using System.Web;
class ExampleClass
{
public void ExampleMethod()
{
HttpCookie httpCookie = new HttpCookie("cookieName");
httpCookie.HttpOnly = false;
}
}
Solution :
using System.Web;
class ExampleClass
{
public void ExampleMethod()
{
HttpCookie httpCookie = new HttpCookie("cookieName");
httpCookie.HttpOnly = true;
}
}
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
Commentaires sur .NET
.NET est un projet open source. Sélectionnez un lien pour fournir des commentaires :