1.安全问题描述
1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息
2.secure属性设置为Flase时,Cookie存在被窃听的风险
2.问题如下图所示
3.修复方案
1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.httponly(v=vs.110).aspx
2.Cookie中的Secure属性,以下网址为详细介绍Cookie中的Secure属性:
https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.secure(v=vs.110).aspx
4.方案实施
遇到问题应用部署在WAS上,而WAS本身存在配置可以增加HttpOnly和Secure属性。
1.登录WAS控制台,点击进入应用配置
2.进入“会话管理”
3.点击“启用cookie”
4.如图勾选。勾选第一项,cookie自带secure;勾选第二项,cookie自带httponly。
5.保存,即可生效。