漏洞名称：会话Cookie中缺少secure和缺少HttpOnly属性，这个如何解决？-领先建站CMS提供服务商我们专注于CMS建站产品的研发

5665 查看	0 回复

主题：[反馈BUG]漏洞名称：会话Cookie中缺少secure和缺少HttpOnly属性，这个如何解决？ [收藏主题]

zjpa3 当前离线

250 主题	21 广播	2 粉丝

级别:二年级

用户积分:2925 分
登录次数:324 次
注册时间:2007/11/22
最后登录:2024/6/10

zjpa3 发表于：2019/9/19 18:30:52 | 只看该作者查看该作者主题楼主

最近收到网安发的网站漏洞整改，里面有这两条信息，URL指的是网站的首页，不知如何修改，官方有解决方案？这个涉及到ASP所有版本，请帮忙！

漏洞名称	会话Cookie中缺少HttpOnly属性
漏洞描述	在应用程序测试过程中，检测到所测试的WEB应用程序设置了不含“HttpOnly”属性的会话cookie。由于此会话cookie不包含“HttpOnly”属性，因此注入点的恶意脚本可能访问此cookie，并窃取它的值。任何存储在会话令牌中的信息都可能被窃取，并在稍后用于身份盗窃或用户伪装。
修复建议	基本上，cookie的唯一必需属性是“name”字段，必须设置“HttpOnly”属性，才能防止会话cookie被脚本访问。

漏洞名称	会话Cookie中缺少secure属性
漏洞描述	[1]基本上，cookie的唯一必需属性是“name”字段，建议设置“secure”属性，以保证cookie的安全。
修复建议	一般性的建议：[1]基本上，cookie的唯一必需属性是“name”字段，建议设置“secure”属性，以保证cookie的安全。

反对(0)

底部