偵測到沒有 SameSite 旗標的 Cookie
low Web App Scanning Plugin ID 115540
語言:
概要
偵測到沒有 SameSite 旗標的 Cookie說明
SameSite 是一個可在 Cookie 上設定的屬性,用於指示 Web 瀏覽器是否可將此 Cookie 與跨網站要求一起傳送,以協助防止跨網站要求偽造 (CSRF) 攻擊。該屬性具有三個可能的值:
- Strict : the cookie will only be sent in a first-party context, thus preventing cross-site requests initiated from third-party websites to include it.
- Lax : the cookie is allowed to be sent in GET cross-site requests initiated by the top-level navigation from third-party websites. 例如,從外部網站前往超文字連結會使要求包含 Cookie。
- None : the cookie is explicitly set to be sent by the browser in any context.
掃描程式發現應用程式設定的 Cookie 缺少 SameSite 屬性,或是具有錯誤設定。
解決方案
處理跨網站內容中的 Cookie 時,Web 瀏覽器的預設行為可能會有所不同,因而無法預測在此內容中傳送 Cookie 的最終決定。應在每個 Cookie 中設定 SameSite 屬性,以強制執行開發人員的預期結果。使用「None」屬性值時,請確認 Cookie 也已設定「Secure」旗標。另請參閱
https://blog.chromium.org/2019/10/developers-get-ready-for-new.html
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite
Plugin 詳細資訊
嚴重性: Low
ID: 115540
類型: remote
已發布: 2018/12/14
已更新: 2023/12/11
掃描範本: basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 2.9
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v4
風險因素: Low
Base Score: 2.1
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 評分資料來源: Tenable
參考資訊
CWE: 352
OWASP: 2010-A5, 2013-A8, 2021-A1
WASC: Cross-Site Request Forgery
DISA STIG: APSC-DV-002500
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.12.6.1, 27001-A.14.2.5
NIST: sp800_53-SI-10(5)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-4.2.2
PCI-DSS: 3.2-6.5.9