漏洞名称

会话Cookie中缺少HttpOnly属性

漏洞描述

在应用程序测试过程中，检测到所测试的WEB应用程序设置了不含“HttpOnly”属性的会话cookie。由于此会话cookie不包含“HttpOnly”属性，因此注入点的恶意脚本可能访问此cookie，并窃取它的值。任何存储在会话令牌中的信息都可能被窃取，并在稍后用于身份盗窃或用户伪装。

修复建议

基本上，cookie的唯一必需属性是“name”字段，必须设置“HttpOnly”属性，才能防止会话cookie被脚本访问。

漏洞名称

会话Cookie中缺少secure属性

漏洞描述

[1]基本上，cookie的唯一必需属性是“name”字段，建议设置“secure”属性，以保证cookie的安全。

修复建议

一般性的建议：[1]基本上，cookie的唯一必需属性是“name”字段，建议设置“secure”属性，以保证cookie的安全。