概要 #

使用時 Cookie挿入の永続性 （例えば、 NOIDSESSIONID）in RELIANOID HTTP/Sファームでは、セキュリティを強化するために以下を追加することをお勧めします。 HttpOnly and Secure 生成されたクッキーにフラグを追加します。

これらのフラグは現在、WebUI の専用フィールドとして公開されていませんが、 設定の回避策 中で Cookie Domain フィールド。

解決策 #

有効にする HttpOnly and Secure 永続クッキーのフラグを、直接追加します。 Cookie Domain 値 スペースなしセミコロン（;) を区切り文字として使用します。例:

example.com;HttpOnly;Secure

重要：要素間に空白を含めないでください。

サービスタブ HTTP/SファームのWeb UIセクションで、 Cookie Insertion オプションを選択します。

この設定を適用した後、変更を保存し、必要に応じてファームを再起動してください。

仕組み #

このアプローチは、HTTP ヘッダーで Cookie 属性がどのように解析されるかを活用します。ドメイン文字列に追加の属性を連結することで、 RELIANOID それらを含める Set-Cookie クライアントに送信されるヘッダー。

これは 設定レベルの回避策 現在サポートされているのは HTTP/Sファームクッキーベースの永続化はアプリケーション層で処理されます。

Cookieフラグの説明 #

HTTPのみ #

• クライアント側のスクリプト（JavaScriptなど）がクッキーにアクセスすることを防止します。
• 次のような攻撃を軽減するのに役立ちます クロスサイトスクリプティング（XSS）.
• CookieがHTTP/Sリクエスト経由でのみ送信されることを保証します。

セキュアー #

• クッキーが確実に送信されるようにします 暗号化されたHTTPS接続.
• 暗号化されていないHTTPトラフィックを介したセッションデータの漏洩を防ぎます。
• 本番環境におけるセッションの整合性を保護するために不可欠です。

なぜこれらの旗が重要なのか #

永続クッキーなど NOIDSESSIONID クライアントとバックエンドサーバー間のセッションアフィニティを維持するために使用されます。適切な保護がない場合：

• Cookieは悪意のあるスクリプトによってアクセスされたり、操作されたりする可能性があります。
• セッション識別子が安全でないチャネルを通じて漏洩する可能性がある。

有効にすることにより HttpOnly and Secure:

• 攻撃対象領域を大幅に縮小できます。
• あなたは最新のウェブセキュリティのベストプラクティスに準拠しています。
• セキュリティ基準および監査への準拠性が向上します。

製品制限 #

• この方法は 回避策 そして、ネイティブのUI機能ではありません。
• のみ適用可能 HTTPおよびHTTPSファーム.
• TCP/UDP（L4）ファームではサポートされていません。
• 構文エラーを避けるよう注意しなければならない。 Cookie Domain フィールド。

Additional Notes #

• HTTPSを有効にする場合は、ファームがHTTPSを使用するように構成されていることを確認してください。 セキュアー フラグ。
• 設定ミス（例えば、スペースの挿入や書式の誤りなど）があると、クッキーが正しく設定されない場合があります。
• 未来 RELIANOID バージョンによっては、これらのフラグに対するネイティブサポートが含まれている場合があります。