Web 應用程式 Cookie 未標記為 HttpOnly
info Nessus Plugin ID 85601
語系:
概要
HTTP 工作階段 Cookie 可能容易遭受跨網站指令碼攻擊的影響。說明
遠端 Web 應用程式可在使用者未經驗證和經驗證的工作階段中設定各種 Cookie。不過,其中有一或多個 Cookie 未標記為 ‘HttpOnly’,這表示惡意用戶端指令碼 (如 JavaScript) 可能讀取這些 Cookie。HttpOnly 旗標是一個防範跨網站指令碼攻擊的安全性機制,此機制是由 Microsoft 建議使用,且最初是在 Internet Explorer 中實作。所有新瀏覽器現在都支援此旗標。請注意,此外掛程式會偵測所有遺漏 HttpOnly Cookie 旗標的一般 Cookie,而外掛程式 48432 (Web 應用程式工作階段 Cookie 未標記為 HttpOnly) 將只會從遺漏 HttpOnly Cookie 旗標的經驗證工作階段,偵測工作階段 Cookie。
解決方案
每種 Cookie 都應仔細檢閱,判斷其中是否含有敏感資料,或是進行安全性決策時是否須加以依賴。如果可能,將 ‘HttpOnly’ 屬性新增至所有工作階段 Cookie,以及包含敏感資料的任何 Cookie。