偵測到沒有 SameSite 旗標的 Cookie

low Web App Scanning Plugin ID 115540

概要

偵測到沒有 SameSite 旗標的 Cookie

說明

SameSite 是一個可在 Cookie 上設定的屬性,用於指示 Web 瀏覽器是否可將此 Cookie 與跨網站要求一起傳送,以協助防止跨網站要求偽造 (CSRF) 攻擊。

該屬性具有三個可能的值:

- Strict : the cookie will only be sent in a first-party context, thus preventing cross-site requests initiated from third-party websites to include it.

- Lax : the cookie is allowed to be sent in GET cross-site requests initiated by the top-level navigation from third-party websites. 例如,從外部網站前往超文字連結會使要求包含 Cookie。

- None : the cookie is explicitly set to be sent by the browser in any context.

掃描程式發現應用程式設定的 Cookie 缺少 SameSite 屬性,或是具有錯誤設定。

解決方案

處理跨網站內容中的 Cookie 時,Web 瀏覽器的預設行為可能會有所不同,因而無法預測在此內容中傳送 Cookie 的最終決定。應在每個 Cookie 中設定 SameSite 屬性,以強制執行開發人員的預期結果。使用「None」屬性值時,請確認 Cookie 也已設定「Secure」旗標。

另請參閱

https://blog.chromium.org/2019/10/developers-get-ready-for-new.html

https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#samesite-cookie-attribute

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

https://web.dev/samesite-cookies-explained

Plugin 詳細資訊

嚴重性: Low

ID: 115540

類型: remote

已發布: 2018/12/14

已更新: 2023/12/11

掃描範本: basic, config_audit, full, overview, pci, quick, scan

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Low

基本分數: 3.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Low

Base Score: 2.1

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊