Help us learn about your current experience with the documentation. Take the survey.
缺少 HttpOnly 属性的敏感 cookie
描述
Cookie 在 Set-Cookie 头中传输时没有设置 HttpOnly 属性。
为了防止 JavaScript 能够访问 cookie 值(通常通过 document.cookies),所有用于身份验证的 cookie 都应该设置 HttpOnly 属性。
修复建议
大多数 Web 应用框架都允许配置如何向用户代理发送 cookie。请查阅您所用框架的文档,了解如何在向客户端分配 cookie 时启用各种安全指令。
如果应用程序通过直接写入响应头来分配 cookie,请确保所有响应都包含 HttpOnly 属性。通过启用此保护,应用程序能够减轻某些跨站脚本(XSS)攻击的影响。
示例:
Set-Cookie: {cookie_name}=<random secure value>; HttpOnly详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 1004.1 | false | 1004 | Passive | Low |