未标记 HttpOnly 的 Web 应用程序 Cookie
info Nessus 插件 ID 85601
语言:
简介
HTTP 会话 Cookie 可能会受跨站脚本攻击的影响。描述
远程 web 应用程序会在用户的未认证和认证会话中设置各种 Cookie。但其中一个或多个 Cookie 未标记“HttpOnly”,意味着恶意客户端脚本(例如 JavaScript)可读取它们。HttpOnly 标记是一种防范跨站脚本攻击的安全机制,是 Microsoft 提出来的,最初在 Internet Explorer 中实现。目前,所有现代浏览器都支持该标记。请注意,此插件会检测所有缺少 HttpOnly Cookie 标记的一般 Cookie,而插件 48432(未标记 HttpOnly 的 Web 应用程序会话 Cookie)只检测认证的会话中缺少 HttpOnly Cookie 标记的会话 Cookie。
解决方案
应当认证检查每个 Cookie,以确定其是否包含敏感数据,或是否针对安全决策对其进行依赖。请尽可能对所有会话 Cookie 以及任何包含敏感数据的 Cookie 添加“HttpOnly”属性。