Help us learn about your current experience with the documentation. Take the survey.
缺少 Secure 属性的敏感 Cookie
描述
该 Cookie 在 Set-Cookie 响应中传输时,未设置 Secure 属性。
为防止敏感的 Cookie 值通过明文 HTTP 意外传输,我们建议声明 Cookie 时使用 Secure 属性。
修复方案
大多数 Web 应用框架允许配置如何向用户代理发送 Cookie。有关如何在向客户端分配 Cookie 时启用各种安全属性的更多信息,请查阅您所用框架的文档。
如果应用程序通过直接写入响应头来分配 Cookie,请确保所有响应都包含 Secure 属性。通过启用此保护,应用程序将不再通过 HTTP 发送敏感 Cookie。
示例:
Set-Cookie: {cookie_name}=<random secure value>; Secure详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 614.1 | false | 614 | 被动 | 低 |