最近收到网安发的网站漏洞整改,里面有这两条信息,URL指的是网站的首页,不知如何修改,官方有解决方案?这个涉及到ASP所有版本,请帮忙!
漏洞名称 | 会话Cookie中缺少HttpOnly属性 |
漏洞描述 | 在应用程序测试过程中,检测到所测试的WEB应用程序设置了不含“HttpOnly”属性的会话cookie。由于此会话cookie不包含“HttpOnly”属性,因此注入点的恶意脚本可能访问此cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 |
修复建议 | 基本上,cookie的唯一必需属性是“name”字段,必须设置“HttpOnly”属性,才能防止会话cookie被脚本访问。 |
漏洞名称 | 会话Cookie中缺少secure属性 |
漏洞描述 | [1]基本上,cookie的唯一必需属性是“name”字段,建议设置“secure”属性,以保证cookie的安全。 |
修复建议 | 一般性的建议:[1]基本上,cookie的唯一必需属性是“name”字段,建议设置“secure”属性,以保证cookie的安全。 |