检测到会话cookie中缺少Secure属性 | 1 |
详细描述 | 会话cookie中缺少Secure属性会导致***者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。
cookie中的Secure指的是安全性。通过设定cookie中的Secure,可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问,如果启用Secure属性,则浏览器仅仅会在HTTPS请求中向服务端发送cookie内容。
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。 | 解决办法 | 向所有会话cookie中添加“Secure”标识。
示例: 未添加标识的cookie: Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H; 添加secure标识: Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H; secure; |
|
转载于:https://blog.51cto.com/zhaoyingyatou/1421790