Améliorer la sécurité

"Z" suggère sur contrib :

  • Il faudrait ajouter l’attribut httpOnly sur le cookie spip_cle_incarner, sinon avec une XSS : impact++

  • Il serait plus prudent de générer/fixer ce cookie lors du premier clique de la session sur un bouton « se connecter en tant que »

Forge communautaire SPIP | Charte d'utilisationSignaler un problème sur ce site