Protección de la cookie de pasaporte CAM

Los administradores pueden establecer el atributo HTTPOnly para que los scripts no puedan leer ni manipular la cookie de pasaporte CAM durante la sesión de un usuario con su navegador web. El pasaporte CAM identifica la sesión de navegador web de un usuario con el servidor.

En el navegador web pueden insertarse archivos de comandos maliciosos mediante un ataque de XSS (archivos de comandos de ubicación cruzada) al servidor o a la aplicación web de un usuario autenticado. Habilitar el atributo HTTPOnly impide que scripts maliciosos roben la identidad de la sesión del usuario.

Cuando un administrador establece este atributo, el navegador web sólo puede utilizar la cookie de sesión para enviar peticiones de HTTP al servidor.

Los administradores que deseen habilitar este atributo deben asegurarse de que los usuarios emplean un navegador web que dé soporte al atributo HTTPOnly.