检测到无 HttpOnly 标记的 Cookie
low Web App Scanning 插件 ID 98063
语言:
简介
检测到无 HttpOnly 标记的 Cookie描述
HttpOnly 标记有助于防止客户端脚本(如 JavaScript)访问和使用 Cookie。这有助于防止 XSS 攻击针对保存客户端会话标记的 Cookie(设置 HttpOnly 标记不能防止,也不能防护 XSS 漏洞本身)。
解决方案
修正此问题的初始步骤是判断是否有任何客户端脚本(如 JavaScript)需要访问 Cookie,如果不需要,则设置 HttpOnly 标记。应注意的是,某些旧版浏览器与 HttpOnly 标记不兼容;因此,设置此标记不会保护这些客户端免受此形式的攻击。
另见
插件详情
严重性: Low
ID: 98063
类型: remote
系列: Web Applications
发布时间: 2017/3/31
最近更新时间: 2023/12/11
扫描模板: basic, config_audit, full, overview, pci, quick, scan
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
参考资料信息
CWE: 1004
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A5
WASC: Application Misconfiguration
DISA STIG: APSC-DV-002210
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b
OWASP ASVS: 4.0.2-3.4.2
PCI-DSS: 3.2-6.5.10